数据安全能力成熟度模型系列:数据处理阶段的数据脱敏过程
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM正式成为国标对外发布,并已正式实施。美创科技将以DSMM数据安全治理思路为依托,针对各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,形成系列文章。本文作为数据安全能力成熟度模型系列第十篇文章,将介绍数据处理阶段的数据脱敏过程域(PA10)。
01定义
数据脱敏,DSMM官方描述定义为根据相关法律法规、标准的要求以及业务需求,给出敏感数据的脱敏需求和规则,对敏感数据进行脱敏处理,保证数据可用性和安全性的平衡。
DSMM标准在充分定义级对数据脱敏要求如下:
1. 组织建设
① 美创科技专家建议组织应设立统一的数据安全岗位和人员,负责制定数据脱敏的原则和方法,并提供相关技术能力;
② 在数据权限的申请阶段,有相关人员应评估使用真实数据的必要性,以及确定该场景下适用的数据脱敏规则及方法。
2. 制度流程
① 应明确组织的数据脱敏规范,明确数据脱敏的规则、脱敏方法利使用限制等;
② 应明确需要脱敏处理的应用场景、脱敏处理流程、涉及部门及人员的职责分工。
3. 技术工具
① 组织应提供统一的数据脱敏工具,实现数据脱敏工具与数据权限管理系统的联动,以及数据使用前的静态脱敏;
② 应提供面向不同数据类型的脱敏方案,可基于场景需求自定义脱敏规则;
③ 数据脱敏后应保留原始数据格式和特定属性,满足开发与测试需求;
④ 应对数据脱敏处理过程相应的操作进行记录,以满足数据脱敏处理安全审计要求。
4. 人员能力
① 应熟悉常规的数据脱敏技术,能够分析数据脱敏过程中存在的安全风险,基于数据脱敏的具体场景保证业务和安全之间的需求平衡;
② 应具备对数据脱敏的技术方案定制化的能力,能够基于组织内部各级别的数据建立有效的数据脱敏方案;
02实践指南
1. 组织建设
美创科技专家建议组织机构在条件允许的情况下应该设立数据脱敏部门并招募相关的技术人员和管理人员,负责为公司制定整体的数据脱敏原则和制度,并推动相关要求确实可靠的落地执行。
除此之外,还需要为公司定义不同等级的敏感数据脱敏处理情景、标准操作流程、标准方法,为公司建立统一的安全审计机制,用于记录和监督数据脱敏各阶段的操作行为,方便后续的问题排查和事件溯源等,在申请数据权限的阶段中,还应该提供评估使用真实数据必要性的服务支持,并确定在当前业务场景下应该采用的数据脱敏规则和方法。
2. 人员能力
针对数据脱敏部门的管理人员来说,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行数据脱敏管理以及数据脱敏原则制定的时候,严格按照《网络安全法》、《数据安全法》等国家相关法律法规和行业规范执行。
同时还需要相关人员具备一定的数据安全管理经验,拥有良好的数据脱敏专业知识基础,熟悉主流厂商的数据脱敏解决方案,熟悉常规的数据脱敏技术,能提前分析出数据脱敏过程中可能存在的安全风险,能够与具体的业务场景结合,保持数据脱敏过程中业务与安全之间的平衡,具备对数据脱敏技术方案进行定制化的能力,能够基于组织机构内部各级别的数据建立行之有效的数据脱敏解决方案。
针对数据脱敏部门的实施人员来说,必须具备良好的数据安全风险意识,熟悉相关法律法规以及政策要求,熟悉主流厂商的数据脱敏方案、熟悉市面上常用的数据脱敏工具,拥有至少一年以上的数据脱敏实施经验,熟悉公司内部应用场景、业务场景,能够快速有效地实施由管理部门输出的定制化数据脱敏方案,并保障完成质量。同时还应该具备一定的应急响应能力,当在数据脱敏过程中发生了突发事件或意外情况,能够快速响应进行上报,保障原始数据安全以及脱敏数据的完整性和可用性等。
3. 落地执行性确认
针对数据脱敏岗位人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
图片新闻
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论