9.1 PA10 數據脫敏

9.1 PA10 數據脫敏

9.1.1　過程域描述

根據相關法律法規、標準的要求以及業務需求，明確敏感數據的脫敏需求和規則，對敏感數據進行脫敏處理，保證數據可用性和安全性的平衡。

9.1.2　等級描述

9.1.2.1　等級1: 非正式執行

? 組織建設：未設立崗位和人員負責組織機構的數據脫敏管理。(BP.10.01)

9.1.2.2　等級 2: 計劃跟蹤

? 組織建設：組織機構內各業務團隊自行負責數據脫敏工作。(BP.10.03)

9.1.2.3　等級 3: 充分定義

? 組織建設：組織機構設立統一的數據安全崗位和人員，負責制定數據脫敏的原則和方法，并提供相關技術能力；由數據的安全管理崗位負責實際場景下的數據的脫敏管理。(BP.10.05)
? 制度流程：
1) 建立組織機構的數據脫敏規范，明確需要脫敏處理的應用場景和脫敏處理流程，制定數據脫敏的需求、規則、方法和使用限制等。(BP.10.06)
2) 在數據權限和資源的申請階段，需由該數據的安全管理崗位人員評估使用真實數據的必要性，以及確定該場景下適用的數據脫敏規則及方法。(BP.10.07)
? 技術工具：
1) 組織機構提供統一的數據脫敏工具，實現數據脫敏工具與數據權限管理平臺的聯動，以及數據使用前的靜態脫敏。(BP.10.08)
2) 提供面向使用者的數據脫敏定制化功能，可基于場景需求自定義脫敏規則。(BP.10.09)
3) 數據脫敏后應保留原始數據格式和特定屬性,滿足開發與測試需求。(BP.10.10)
4) 提供數據脫敏處理過程的日志記錄功能,滿足數據脫敏處理安全審計要求。(BP.10.11)
? 人員能力：
1) 熟悉常規的數據脫敏技術，能夠分析數據脫敏過程中存在的安全風險，基于數據脫敏的具體場景保證業務和安全之間的需求平衡。(BP.10.12)

9.1.2.4　等級 4: 量化控制

? 制度流程：
1) 應明確列出需要脫敏的數據資產，給出不同分類分級數據的脫敏處理流程。(BP.10.14)
2) 明確脫敏數據治理要求和規范，在脫敏策略、評估指標、評估分析和評估方法等方面反映脫敏治理效果。(BP.10.15)
? 技術工具：
1) 配置脫敏數據識別和脫敏效果驗證服務組件或技術手段，確保數據脫敏的有效性和合規性。(BP.10.16)
2) 針對特定的數據使用場景和數據脫敏的策略，部署數據的動態脫敏方案。(BP.10.17)

9.1.2.5　等級 5: 持續優化

? 技術工具：建立數據脫敏的整體方案，建立對非結構化數據的合理的脫敏解決方案。(BP.10.19)