文件编码：XXX-XXXX-007 数据脱敏安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为规范北京思度咨询科技有限公司敏感数据的脱敏工作，确保数据 脱敏过程安全、可靠，制定本规范。 第二条 本规范适用于指导北京思度咨询科技有限公司的数据脱敏工作。 第二章术语定义 第三条 敏感数据： 指泄露后可能会为国家利益、组织群体或个人带来严重 危害的数据。包括个人敏感数据、企业或社会团体不适合公开的数据等。 第四条 数据脱敏： 对外提供敏感数据时，为避免敏感数据泄露，通过一定 的方式消除敏感数据内的敏感信息，并且保留原始数据的特征、格式的操作。 第三章职责权限 第五条 数据安全管理岗负责统筹规划敏感数据脱敏工作，主要履行的职责 包括但不限于： （一）负责组织制定北京思度咨询科技有限公司数据脱敏的相关制度、规范 以及流程； （二）负责组织制定敏感数据脱敏工作审计机制，确保敏感数据脱敏过程的 合规性； （三）评估使用真实数据的必要性，以及确定该场景下适用的数据脱敏规则 及方法； （四）负责对数据脱敏申请文件进行审批； （五）保障必要数据脱敏的支撑资源，协调各部门之间对数据脱敏的需求。 第六条 数据安全管理小组，负责监督敏感数据脱敏相关工作的执行情况， 主要履行的职责包括但不限于： （一）负责监督数据脱敏制度执行情况，及时发现存在的问题，并上报数据 安全领导小组； （二）组织开展敏感数据安全检查工作，确保敏感数据均按照要求执行了脱 敏工作。 第七条 数据脱敏安全岗主要履行的职责包括但不限于： 第 1 页 共 7 页 （一）参与制定数据脱敏的原则和方法； （二）按照脱敏规则，执行脱敏策略的下发； （三）依据数据脱敏操作规范、流程，运用数据脱敏工具执行敏感数据脱敏 操作； （四）负责数据脱敏设备的日常维护、巡检以及策略调整； （五）监控和分析日志信息，当发现异常操作行为时及时报告至数据安全管 理员； （六）定期向数据安全管理员汇报数据脱敏操作安全情况。 第四章 数据脱敏原则 第八条 有效性原则。经过数据脱敏 处理后，原始信息 中包含的敏感信息 已 被移除，无法通过直接或简单处理得到敏感信息。 第九条 真实性原则。脱敏后的数据 应保留原始数据 中的有意义信息，能真 实体现原始数据的特征，以 助于实现数据相关业 务需求。 第十条 高效性原则。 应保证数据脱敏的过程可通过程序 自动实现，重 复执 行，在确保一定安全 底线的前提下，需可能 减少数据脱敏工作 所花费的额外代价。 第十一条 稳定性原则。数据脱敏时需保 证对相同的原始数据，在各 输入条 件一致的前提下，无论脱敏多少次，最终结果数据相同。 第十二条 可配置性原则：数据脱敏过程 中，宜通过配置的方式，按照 输入 条件不同生成不同的脱敏结果。 第五章 数据脱敏场景 第十三条 根据应用场景， 将数据脱敏分为 静态脱敏和动态脱敏。将生产环 境的敏感数据导 出到非生产环境（如：开发环境、培训环境、测试环境、共享环 境等）的过程 中，采用静态脱敏完成对敏感数据的脱敏 处理；在实时 访问生产环 境中的敏感数据的场景下， 采用动态脱敏技术 完成对敏感数据的 即时脱敏处理。 第十四条 开发测试数据脱敏。开发 测试使用数据场景主要包括内部常规的 系统测试、对外提供 联调数据，在使用业 务真实数据进行 测试时，需要 将敏感数 据脱敏，避免 因开发测试导致敏感数据泄 漏。 第 2 页 共 7 页第十五条 分析数据脱敏。数据分析使用数据的脱敏场景主要包括，数据脱 敏安全工程 师根据需求将数据导出到终端时脱敏、外部单 位使用其他公共服务机 构敏感数据分析脱敏。 第十六条 共享开放数据脱敏。共 享开放数据脱敏 是指在公共 服务管理机构 之间数据共 享是有条件共 享的内容，如脱敏后共 享或脱敏后开 放。 第十七条 数据库运维脱敏。数据 库运维脱敏指的 是针对可获取或查询敏感 数据的业 务系统后台运维处理过程中，通过脱敏技术，限制运维人员对数据 库中 敏感信息内 容的访问。 第十八条 业务系统前台脱敏。业 务系统前台数据脱敏指的 是用户在前端应 用处调取后台数据库中的敏感数据时，通过脱敏技术对敏感数据进行脱敏， 再将 结果反馈至前台呈现。 第十九条 API接口脱敏。API接口脱敏指的 是通过API接口调用数据时， 采 用脱敏技术在 接口调用过程 中对敏感数据进行在 线的屏蔽、变形、字符替换、随 机替换等处理。 第六章 数据脱敏方法 第二十条 开发测试场景下， 因为重视数据的可用性，主要 采用替换、变形 等技术，敏感数据脱敏可以 采用相同含义的数据 替换原有的敏感数据， 例如身份 证信息脱敏后 仍然为有效的 身份证信息。 第二十一条 数据分析场景下， 因为重视数据之间的关 联性、分析 结果，所 以建议主要采用抑制、泛化等技术，脱敏后的数据严格保留原有的数据关 系与格 式，确保数据脱敏后不会 影响分析结果，例如多个表格内相同人员的姓名，需要 确保脱敏后 结果一致； 第二十二条 数据共享开放场景，因为重视敏感信息在不 同政府部门间共 享 过程中的隐私泄露问题， 所以主要采用遮蔽脱敏技术， 将原数据中部分或全部内 容，用“*”或“#”等字符进行替换，遮盖部分或全部原文。 第二十三条 数据库运维脱敏、业 务系统前台脱敏、API接口脱敏等场景下， 因为需要实时 访问生产数据库，但不需要 看到敏感字段，所以采用掩码或变形等 技术在调用生 产库数据时，在 返回的结果中对敏感数据 做即时脱敏处理。 第二十四条 数据脱敏规则和方法。数据脱敏的方法主要包括 遮蔽脱敏、扰 乱脱敏、泛化脱敏、数据一 致性脱敏、可 逆脱敏。 第 3 页 共 7 页（一）遮蔽脱敏。主要 是对数据项的部分或全部数据用 符号替代，如例如身 份证号遮挡（440*********0011），主要用于共 享开放等； （二）扰乱脱敏。利用 加密、重排等方式对原始数据进行修改。保留数据原 始特征，并能经过业 务校验，如（例如将123变为abc)，主要用与 研发测试等场 景； （三）泛化脱敏。指保留原始数据的 局部特征的 前提下使用 其他方式替代原 始数据的方式， 例如年龄泛化（从20岁泛化成0-30岁），主要用于分析 处理等； （四）数据一致性脱敏。 是原始数据的关 联关系在进行数据脱敏后 也能保持 关联关系，如脱敏后数据的***号、性别、生日、 籍贯数据保持一致性，主要用 于二次开发测试场景； （五）可逆脱敏。指依据脱敏数据对 应表，可将脱敏数据 还原成原始数据， 从脱敏数据可以 获取原始数据，用于数据分析后需要真实 结果的场景。 第七章 数据脱敏流程 第二十五条 数据脱敏的流程分为敏感数据发现、敏感数据 梳理、脱敏方 案 制定、脱敏 任务执行四大步骤，数据脱敏流程 如图1所示： 图1 数据脱敏流程 （一）敏感数据发现，分为人工发现和 自动发现两种。对于固定的业务数据， 一般数据结构和数据长度不会变化，大部分为数 值型和固定长度的字符，如：身 份证号、手机号，可 采用人工甄别，明确指定哪些列、哪些库的数据需要脱敏； 自动发现是根据人工指定或 预定义的敏感数据特征， 借助敏感数据信息 库和分词 系统，自动识别数据库中包含的敏感信息。 第 4 页 共 7 页（二）敏感数据 梳理，在敏感数据发现的 基础上，完成敏感数据 列、敏感数 据关系的调整，以保 证数据的关 联关系。通过屏蔽、变形、替换、随机、格式保 留加密、强加密等数据脱敏 算法，针对不同的数据类型进行数据 掩码扰乱。 （三）脱敏方案制定，对于不 同的数据脱敏需求，在 基础脱敏算法的基础上， 配置专门的脱敏策略，脱敏方 案的制定主要依靠脱敏策略和脱敏 算法的复用来实 现，通过 配置和扩展脱敏算法以制定 最优方案。 （四）脱敏任务执行，包 含脱敏任务的启动、暂停、停止等操作。 第二十六条 数据脱敏审批流程主要包括：数据使用申请、脱敏审批、 选择 脱敏规则、脱敏操作、脱敏内 容审核、脱敏过程审计等。数据脱敏审批流程 如图 2所示： 第 5 页 共 7 页图2 数据脱敏工作流程 （一）数据使用申请，数据申请 者需提交《数据使用申请 表》，明确数据使 用目的、范围、字段内容以及实施时间等信息； （二）脱敏审批， 由数据安全管理岗及数据与 网络安全部主管进行审 核批准； （三）选择脱敏规则，数据脱敏安全工程 师评估数据的使用 风险，选择对应 的脱敏规则； （四）脱敏操作：通过 自动脱敏工具，下发对 应的脱敏策略、并对脱敏操作 进行记录； （五）脱敏内容审核：数据安全管理岗组织对脱敏后的数据内 容进行评估， 确认合规后，数据申请 者方可获取数据； （六）脱敏过程审计：确保 所有的操作过程 被审计，并 做好记录留存，定期 进行安全审计。 第八章 数据脱敏使用限制 第二十七条 在进行数据脱敏时需要 考虑以下使用限制： （一）在进行数据脱敏 前需确认脱敏对象以及脱敏场景， 选择合适的脱敏规 则和方法； （二）采取符合脱敏数据等 级要求的脱敏方法，避免 非敏感数据 推算出敏感 数据； （三）需要确保脱敏后的数据具备数据原始特征，避免 因数据脱敏过度 而导 致数据失效； （四）需要考虑到非敏感数据组合后生 成敏感数据的可能性，对 这些非敏感 数据也要进行脱敏工作； （五）对同一敏感数据进行 多次脱敏后，格式及内 容需保持一样； （六）对敏感数据进行脱敏后，需要确保脱敏后数据 无法被恢