《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB／T 37988－2019）簡稱DSMM正式成為國標(biāo)對外發(fā)布，并已正式實施。美創(chuàng)科技將以DSMM數(shù)據(jù)安全治理思路為依托，針對各過程域，基于充分定義級視角（3級），提供數(shù)據(jù)安全建設(shè)實踐建議，形成系列文章。本文作為數(shù)據(jù)安全能力成熟度模型系列第十篇文章，將介紹數(shù)據(jù)處理階段的數(shù)據(jù)脫敏過程域（PA10）。

01定義

數(shù)據(jù)脫敏，DSMM官方描述定義為根據(jù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)的要求以及業(yè)務(wù)需求，給出敏感數(shù)據(jù)的脫敏需求和規(guī)則，對敏感數(shù)據(jù)進行脫敏處理，保證數(shù)據(jù)可用性和安全性的平衡。

DSMM標(biāo)準(zhǔn)在充分定義級對數(shù)據(jù)脫敏要求如下：

1．       組織建設(shè)

①      美創(chuàng)科技專家建議組織應(yīng)設(shè)立統(tǒng)一的數(shù)據(jù)安全崗位和人員，負(fù)責(zé)制定數(shù)據(jù)脫敏的原則和方法，并提供相關(guān)技術(shù)能力；

②      在數(shù)據(jù)權(quán)限的申請階段，有相關(guān)人員應(yīng)評估使用真實數(shù)據(jù)的必要性，以及確定該場景下適用的數(shù)據(jù)脫敏規(guī)則及方法。

2．       制度流程

①      應(yīng)明確組織的數(shù)據(jù)脫敏規(guī)范，明確數(shù)據(jù)脫敏的規(guī)則、脫敏方法利使用限制等；

②      應(yīng)明確需要脫敏處理的應(yīng)用場景、脫敏處理流程、涉及部門及人員的職責(zé)分工。

3．       技術(shù)工具

①      組織應(yīng)提供統(tǒng)一的數(shù)據(jù)脫敏工具，實現(xiàn)數(shù)據(jù)脫敏工具與數(shù)據(jù)權(quán)限管理系統(tǒng)的聯(lián)動，以及數(shù)據(jù)使用前的靜態(tài)脫敏；

②      應(yīng)提供面向不同數(shù)據(jù)類型的脫敏方案，可基于場景需求自定義脫敏規(guī)則；

③      數(shù)據(jù)脫敏后應(yīng)保留原始數(shù)據(jù)格式和特定屬性，滿足開發(fā)與測試需求；

④      應(yīng)對數(shù)據(jù)脫敏處理過程相應(yīng)的操作進行記錄，以滿足數(shù)據(jù)脫敏處理安全審計要求。

4．       人員能力

①      應(yīng)熟悉常規(guī)的數(shù)據(jù)脫敏技術(shù)，能夠分析數(shù)據(jù)脫敏過程中存在的安全風(fēng)險，基于數(shù)據(jù)脫敏的具體場景保證業(yè)務(wù)和安全之間的需求平衡；

②      應(yīng)具備對數(shù)據(jù)脫敏的技術(shù)方案定制化的能力，能夠基于組織內(nèi)部各級別的數(shù)據(jù)建立有效的數(shù)據(jù)脫敏方案；

02實踐指南

1．       組織建設(shè)

美創(chuàng)科技專家建議組織機構(gòu)在條件允許的情況下應(yīng)該設(shè)立數(shù)據(jù)脫敏部門并招募相關(guān)的技術(shù)人員和管理人員，負(fù)責(zé)為公司制定整體的數(shù)據(jù)脫敏原則和制度，并推動相關(guān)要求確實可靠的落地執(zhí)行。

除此之外，還需要為公司定義不同等級的敏感數(shù)據(jù)脫敏處理情景、標(biāo)準(zhǔn)操作流程、標(biāo)準(zhǔn)方法，為公司建立統(tǒng)一的安全審計機制，用于記錄和監(jiān)督數(shù)據(jù)脫敏各階段的操作行為，方便后續(xù)的問題排查和事件溯源等，在申請數(shù)據(jù)權(quán)限的階段中，還應(yīng)該提供評估使用真實數(shù)據(jù)必要性的服務(wù)支持，并確定在當(dāng)前業(yè)務(wù)場景下應(yīng)該采用的數(shù)據(jù)脫敏規(guī)則和方法。

2．       人員能力

針對數(shù)據(jù)脫敏部門的管理人員來說，必須具備良好的數(shù)據(jù)安全風(fēng)險意識，熟悉國家網(wǎng)絡(luò)安全法律法規(guī)以及組織機構(gòu)所屬行業(yè)的政策和監(jiān)管要求，在進行數(shù)據(jù)脫敏管理以及數(shù)據(jù)脫敏原則制定的時候，嚴(yán)格按照《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等國家相關(guān)法律法規(guī)和行業(yè)規(guī)范執(zhí)行。

同時還需要相關(guān)人員具備一定的數(shù)據(jù)安全管理經(jīng)驗，擁有良好的數(shù)據(jù)脫敏專業(yè)知識基礎(chǔ)，熟悉主流廠商的數(shù)據(jù)脫敏解決方案，熟悉常規(guī)的數(shù)據(jù)脫敏技術(shù)，能提前分析出數(shù)據(jù)脫敏過程中可能存在的安全風(fēng)險，能夠與具體的業(yè)務(wù)場景結(jié)合，保持?jǐn)?shù)據(jù)脫敏過程中業(yè)務(wù)與安全之間的平衡，具備對數(shù)據(jù)脫敏技術(shù)方案進行定制化的能力，能夠基于組織機構(gòu)內(nèi)部各級別的數(shù)據(jù)建立行之有效的數(shù)據(jù)脫敏解決方案。

針對數(shù)據(jù)脫敏部門的實施人員來說，必須具備良好的數(shù)據(jù)安全風(fēng)險意識，熟悉相關(guān)法律法規(guī)以及政策要求，熟悉主流廠商的數(shù)據(jù)脫敏方案、熟悉市面上常用的數(shù)據(jù)脫敏工具，擁有至少一年以上的數(shù)據(jù)脫敏實施經(jīng)驗，熟悉公司內(nèi)部應(yīng)用場景、業(yè)務(wù)場景，能夠快速有效地實施由管理部門輸出的定制化數(shù)據(jù)脫敏方案，并保障完成質(zhì)量。同時還應(yīng)該具備一定的應(yīng)急響應(yīng)能力，當(dāng)在數(shù)據(jù)脫敏過程中發(fā)生了突發(fā)事件或意外情況，能夠快速響應(yīng)進行上報，保障原始數(shù)據(jù)安全以及脫敏數(shù)據(jù)的完整性和可用性等。

3．       落地執(zhí)行性確認(rèn)

針對數(shù)據(jù)脫敏崗位人員能力的實際落地執(zhí)行性確認(rèn)，可通過內(nèi)部審計、外部審計等形式以調(diào)研訪談、問卷調(diào)查、流程觀察、文件調(diào)閱、技術(shù)檢測等多種方式實現(xiàn)。