数据脱敏的安全管理.docx

数据脱敏的平安管理一、什么是数据脱敏 作为一个平安渣（博主经常这样戏称自己），因为接触数据平安的工作多了，也开始 开始会有一些新的思考。 好的，进入正题。什么是数据脱敏？ 我们需要先说下什么是敏感数据，敏感数据泛指个人信息（姓名、 、住址、健康 信息、证件等数据）、涉及需要保护的数据。 数据脱敏，是将敏感数据按照一定的规那么对敏感数据进行变形，到达保护用户信息平安、 符合法律法规保密要求。 二、数据脱敏的场景 一般常见数据脱敏的使用场景可以分为： •开发、测试使用敏感数据的・内外部统计数据涉及敏感数据的 三、数据脱敏的平安管理架构 从常见的领导组织和下属架构进行区分，常规的较粗颗粒度的数据脱敏的平安管理架 构可以做一下分类。 仅供用于敏感数据脱敏的管理组织设计参考，业务如细分，可再进一步进行拆分。 1 .数据总体统筹部门 作为数据管理的总体统筹部门，负责统一的数据管理、制定管理和操作规程。 2 .数据平安管理部门 作为数据的平安管理部门，通常又信息平安部门、数据平安部门来负责，主要负责的事项有： • 数据脱敏工具的规那么配置（数据源、算法、输出）数据脱敏的过程数据平安保障（传输、存储、共享交换） • 数据脱敏的常态化检查工作（脱敏是否符合平安要求）数据脱敏申请的审核审批 3、数据相关使用部门 作为数据的使用部门，主要为数据需求方，常见的对象有开发人员、数据统计人员、外部数源部门等。主要涉及的职责有： • 按照实际需求的数据申请发起负责配合提供敏感数据的脱敏规那么和验证方案 • 负责配合脱敏工具的使用支持负责敏感数据字段的核实 四.数据脱敏的流程1、数据脱敏申请 数据需求方，开始根据自身的数据使用需求，对涉及敏感数据的局部进行评估列示, 同时提交申请。 申请的形式常见的有: • 纸质申请流程电子自动化流程（0A/企业微信/钉钉/ITSM工单） 这里需要特别关注的是，需要对申请审核审批的流程进行设计，可以参考组织架构, 进行流程的关联设计。 2.敏感数据发现 对敏感数据按照提单进行发现识别，常见的有： •人工甄别 通过业务定义，进行人工对表、字段的敏感数据甄别。 •自动识别 通过脱敏工具，以特征技术，进行敏感数据的自动识别。 3、敏感数据核实 为了进一步对敏感数据发现的敏感数据进行有效识别，提升识别率，会涉及到对敏感 数据进行核实。 常见的方法是采用人工的方式，比照数据需求方或自身数据资产管理列示的进行有效核 实。 4、脱敏作业实施 核实完敏感数据，确认之后，需要做以下步骤： ・ 数据相关使用部门提供敏感数据的审批通过申请凭证数据总体统筹部门负责核批申请 ・ 数据平安管理部门负责按照要求配置脱敏工具的数据源、脱敏算法、脱敏输出的数据路径 ・ 数据平安管理部门负责按照既定时间、范围开展敏感数据脱敏作业数据平安管理部门、数据相关使用部门负责脱敏数据的验证 五、业务中可能需关注的点 在实际的脱敏业务中，可能需要关注的点大概有以下几点： ・ 脱敏算法和脱敏规那么是否能符合工程敏感数据脱敏要求脱敏的审核审批流程是否已覆盖到责任方 ・ 脱敏后的数据验证是否正常开展脱敏作业后平安检查是否落实到位（数据源账号权限、有效期、数据存储合规等） ・ 脱敏是否有合理的双人监督或专责专岗脱敏源及指定账号的平安管控是否到位 ・ 脱敏应用环境是否有做划分是否具备详细的数据脱敏操作指引 ・ 数据脱敏的数据采集、数据传输、数据存储、数据处理、数据共享、数据销毁是否符合法律法规要求 关于数据脱敏的大致平安管理和作业指导，应该就是上面整理的这些了。