DB23_T 3508—2023信息化系统敏感信息脱敏规范-(高清版).pdf
《DB23_T 3508—2023信息化系统敏感信息脱敏规范-(高清版).pdf》由会员分享,可在线阅读,更多相关《DB23_T 3508—2023信息化系统敏感信息脱敏规范-(高清版).pdf(10页珍藏版)》请在咨信网上搜索。
1、ICS35.240.30CCS L 7023黑龙江省地方标准DB 23/T 35082023信息化系统敏感信息脱敏规范2023-07-05 发布2023-08-04 实施黑龙江省市场监督管理局发 布DB 23/T 35082023I目次前言.II1范围.12规范性引用文件.13术语和定义.14基本原则.1有效性.1真实性.2稳定性.2可配置性.25脱敏规划.26脱敏流程.2敏感信息识别.2敏感信息标识.2确定脱敏方法.2定义脱敏规则.3执行脱敏操作.3评估脱敏效果.37脱敏评价.3附录 A(资料性)信息脱敏算法及示例.4附录 B(资料性)脱敏信息类型及对应的算法规则.5参考文献.7DB 23/
2、T 35082023II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。本文件由黑龙江省互联网信息办公室提出并归口。本文件起草单位:黑龙江省网络空间研究中心、中国航发哈尔滨东安发动机有限公司、黑龙江大学、哈尔滨理工大学、黑龙江省生态环境监测中心。本文件主要起草人:周莹、张立新、冯亚娜、李志刚、姜永涛、张驰、徐进、齐红、谷俊涛、陈靖宇、彭加亮、孟庆川、呼大永、姜天一、吴琼、马超、李晗、顾平、徐俊伟。本文件为首次发布。DB 23/T 350820231信息化系统敏感信息
3、脱敏规范1范围本文件规定了信息化系统敏感信息脱敏的术语和定义、敏感信息脱敏的基本原则、脱敏规划、脱敏流程和脱敏评价。本文件适用于信息化系统敏感信息脱敏工作的规划和实施。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25000.51系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则3术语和定义下列术语和定义适用于本文件。信息化系统支持运用信息和通讯技术进行全方位过程改造的
4、各类计算机应用系统。敏感信息一旦泄露、非法提供或滥用可能会对个人、组织、甚至国家产生某种风险的信息。信息脱敏按照一定规则对原始信息进行处理,达到屏蔽敏感信息的一种信息保护方法。静态脱敏对原始信息进行一次脱敏后,脱敏后的结果可以多次使用。动态脱敏在敏感信息显示时,针对不同需求,对显示信息进行屏蔽处理的脱敏方式,系统通过安全措施确保用户不能绕过信息脱敏层直接接触敏感信息。4基本原则有效性经过信息脱敏处理后,原始信息中包含的敏感信息已被移除,无法通过处理后的数据得到敏感信息。DB 23/T 350820232真实性脱敏后的信息应能真实地体现原始信息的特征,保留原始信息中的有意义部分,减小对使用该信息
5、的系统的影响。稳定性对相同的原始信息,在输入条件一致的前提下,多次脱敏结果应相同。可配置性通过可配置的方式,按信息应用场景等因素输入条件,生成脱敏结果,为用户提供脱敏信息。5脱敏规划根据用户需求、应用场景及安全合规需求等,制定信息脱敏规划,信息脱敏规划应包括但不限于以下内容:a)成立专门的信息脱敏管理小组,按角色分配工作权限,形成脱敏过程的监督机制;b)建立敏感信息的分类分级制度、信息脱敏的工作流程、脱敏工具的运维管理制度,定期对相关流程制度进行评审和修订;c)定期对信息脱敏工作的相关方开展培训;d)建立脱敏审批机制,确保信息脱敏工作安全合规。6脱敏流程敏感信息识别6.1.1按信息化系统业务属
6、性和信息敏感程度,梳理信息化系统的敏感信息。6.1.2对敏感信息进行分类分级。6.1.3对分类分级结果进行人工复核。敏感信息标识6.2.1识别出敏感信息后,应对敏感信息的位置和格式等进行标识。6.2.2标识信息应随敏感信息一起流动,且不被删除和篡改。确定脱敏方法在标识敏感信息基础上,根据应用场景的需求选择脱敏方法,脱敏方法包括静态脱敏和动态脱敏。脱敏方法及信息脱敏应用场景示例见表1。表 1脱敏方法及信息脱敏应用场景示例脱敏方法场景示例说明静态脱敏系统开发、测试场景在对真实敏感生产信息进行操作时,存在信息交换、共享、分析等第三方信息应用(如通过API接口方式向特定平台提供数据)。此场景可采用静态
7、脱敏,提供脱敏后的生产信息,为第三方信息应用提供适用的敏感信息防护,保证脱敏后信息的特征、逻辑及各类数据间的一致性、业务性关联。DB 23/T 350820233表1脱敏方法及信息脱敏应用场景示例(续)脱敏方法场景示例说明动态脱敏运维场景第三方运维人员通过运维工具接触底层真实信息,其中也包含敏感信息,存在安全隐患(如用电信息)。此场景可采用动态脱敏,对数据库账户的身份管理,数据库系统管理员账户权限限制访问,最高权限账户权限、敏感信息账户、个人账户等进行严格的区分管理。系统日常使用场景信息化系统不应有大量的敏感信息在系统上显示(如企业信用代码、法定代表人、法人代表、手机号码)。此场景可采用动态脱
8、敏,合规且被授权用户才可以看到明文信息,不合规或未被授权用户只可看到脱敏后的信息。定义脱敏规则6.4.1脱敏算法信息脱敏算法有随机映射、固定映射、遮盖填充等。信息脱敏算法及示例见附录A。6.4.2脱敏规则依据已选择的信息脱敏方法,定义脱敏规则,并对常用信息脱敏规则进行固化,避免重复定义。脱敏信息类型及对应的算法规则见附录B。执行脱敏操作6.5.1根据已定义的信息脱敏算法,执行信息脱敏操作。6.5.2在日常的脱敏工作中,监控和分析脱敏过程的稳定性以及对业务的影响。6.5.3定期对脱敏工作开展安全审计,发现脱敏工作中的安全风险。评估脱敏效果依据GB/T 25000.51 评估脱敏后信息对信息化系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB23_T 35082023信息化系统敏感信息脱敏规范-高清版 3508 2023 信息化 系统 敏感 信息 规范 高清版
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。