logo资料库

数据脱敏工作规范.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.05M 资料格式:doc 举报 版权申诉
第1页 / 共11页
第2页 / 共11页
第3页 / 共11页
第4页 / 共11页
第5页 / 共11页
第6页 / 共11页
第7页 / 共11页
第8页 / 共11页
资料共11页,剩余部分请下载后查看
    数据脱敏制度 第一章 总 则 第一条 为规范**银行测试和开发环境中涉及与客户信息 相关的敏感数据的脱敏管理,根据**银行信息安全管理策略规 定,特制定本制度。 第二条 敏感数据是指生产数据中含有的能够推测出具 体客户私密信息的数据。 第三条 敏感数据主要包括客户鉴别类和密码类信息。其 中,客户鉴别类信息包括姓名(个人客户)、机构名称(法人客 户)、证件编号、账号、联系方式(如:电话号码、邮箱地址、 家庭或工作单位地址)等;密码类信息包括客户留存在我行系 统中并用于对登陆系统、执行交易等相关操作进行访问控制的 密码。 第四条 数据脱敏是指在应用项目测试和开发工作中需要 使用生产数据时,先按照一定的规则对与客户信息相关的敏感 数据(以下简称“敏感数据”)进行变形,达到保护客户资产、 信用、交易记录等相关私密信息的目的。
    第五条 敏感数据脱敏方法分为合理运算脱敏和赋值脱敏 两类。对敏感数据简单脱敏将对应用产生影响的情况,应通过 执行合理运算进行数据脱敏;对敏感数据简单脱敏对应用无影 响的情况,可通过简单赋值进行脱敏。 第六条 敏感数据脱敏工具主要是指在测试和开发过程中 使用的对敏感数据进行脱敏的程序工具。 第七条 本制度适用于总行信息科技部、软件开发中心、 数据中心,分行信息科技部门应参照执行。 第二章 机构与职责 第八条 信息科技部的主要职责 (一)负责对本行掌握的数据进行统一管理,制定具体的 管理和操作流程; (二)负责规范数据脱敏工作流程,协调各环节的顺利开 展; (三)指导并监督软件开发中心、数据中心的数据脱敏工 作,保证数据脱敏工作的正常流转。 第九条 软件开发中心的主要职责: (一)负责评估敏感数据脱敏可行性,并制定脱敏策略; (二)负责制定敏感数据脱敏和验证技术方案;
    (三)负责设计脱敏工具及定期维护升级; (四)协助分析解决由于脱敏版本和脱敏策略导致的测试 问题。 第十条 数据中心的主要职责: (一)负责将敏感数据经脱敏后提供软件开发中心; (二)负责保证从生产环境导出后到软件开发中心接收前 数据的安全性; (三)负责准确、完整实施敏感数据脱敏工作; (四)负责管理敏感数据存储介质。 第三章 数据脱敏策略 第十一条 软件开发中心应根据各应用系统中相关敏感 数据分布情况,结合开发、测试的具体需求,制定所有含有敏 感数据系统的数据脱敏策略,明确脱敏范围及脱敏方式,并据 此制定敏感数据脱敏方案和验证方案。 第十二条 数据脱敏策略的制定应遵循以下原则: (一)数据脱敏方法的强度(以脱敏运算不可逆程度测度) 原则上应与应用的安全等级相匹配,高安全等级的应用适用高 强度的脱敏方法; (二)对某个应用中敏感数据进行脱敏处理时,需结合具
    体需求,确定需合理运算脱敏和简单赋值脱敏处理的详细数据 类型; (三)为保证数据脱敏后不失去原有表之间及表内各字段 间的关联关系,各数据库表中作为主键或外键的字段应采用相 同的脱敏方法,不应仅置为某个特定值; (四)应保证主机和外围系统敏感数据的脱敏标准的一致 性,既满足脱敏后的数据与生产环境相似,又避免主机和外围 系统脱敏后数据不匹配。 第十三条 数据脱敏策略的制定及变更需通过技术评审 委员会评审,数据脱敏方案的制定及变更应通过开发中心内部 评审,脱敏方案内容应严格保密。 第十四条 软件开发中心应根据敏感数据脱敏和验证技 术方案制定细化的数据脱敏操作手册,详细说明数据脱敏环境 设置、脱敏操作步骤、脱敏结果验证方法及步骤等内容。 第十五条 软件开发中心应根据敏感数据脱敏和验证技 术方案,设计实现数据脱敏工具,以保证脱敏操作的效率和可 靠性。对于无需使用专门数据脱敏工具即可完成脱敏操作的情 况,软件开发中心应在数据脱敏操作手册中对脱敏方法予以详 细说明。 第十六条 软件开发中心应将数据脱敏工具及数据脱敏 操作手册提交数据中心。对有数据脱敏需求的应用系统,软件
    开发中心原则上应将数据脱敏工具和数据脱敏操作手册随该应 用版本同时交付数据中心。 第十七条 软件开发中心应将数据脱敏相关文档(包括 策略、方案、操作手册、脱敏工具清单等)同时提交信息科技 部备案,并将更新信息及时反馈信息科技部。 第四章 数据脱敏申请与实施 第十八条 因开发、测试或解决生产事件、问题需要使 用生产业务数据时,软件开发中心应向数据中心提交数据需求 服务请求。 第十九条 数据中心收到请求后应对数据需求及相应数 据脱敏策略进行对照审核,如果符合数据脱敏策略,且有相应 数据脱敏工具或脱敏方法记录,则按要求进行处理,否则不予 受理。 第二十条 数据中心应根据软件开发中心提交的数据需 求,按照敏感数据脱敏操作手册,使用软件开发中心提供的数 据脱敏工具或脱敏方法,组织实施数据脱敏工作。 第二十一条 数据中心在实施完数据脱敏工作后,必须对 脱敏有效性进行验证,验证成功后方可将数据提供软件开发中 心,并及时清理非生产环境脱敏前的敏感数据。
    第二十二条 对于数据中心在执行数据脱敏操作过程中遇 到的技术问题,软件开发中心应提供及时有效的技术支持。 第二十三条 数据中心应对数据脱敏环境安全进行严格管 理。严格限制可访问该环境的客户端源地址,并明确访问时间, 并按照最小授权原则,严格控制访问敏感数据的用户权限。 第五章 脱敏数据使用管理 第二十四条 经完全脱敏后的敏感数据应视同于普通数 据,可根据测试、开发需求进行日常管理。 第二十五条 对于无法进行完全脱敏的敏感数据,软件开 发中心应严格管理,应要求可能接触数据的第三方公司人员签 订保密协议,并采取严格的访问控制措施,防止非相关人员接 触数据,确保敏感数据的保密性。 第二十六条 如果数据中心提供给软件开发中心的数据需 通过数据介质交接,应做好数据介质交接管理: (一)数据中心准备相应的数据介质,并将数据介质相关 信息填写到《数据介质信息及交接表》中; (二)数据中心与软件开发中心的数据交接内容包括:数 据介质和《数据介质信息及交接表》,双方确认数据介质信息与 《数据介质信息及交接表》的信息一致性,并在信息表中签字;
    (三)数据介质使用完毕后,如果需要归还数据介质,由 软件开发中心负责向数据中心归还数据介质,并填写数据介质 交接清单。 第二十七条 软件开发中心应负责目标环境的系统、网络 环境搭建及目标环境与原环境的一致性检查,确保具备数据恢 复的条件。 第二十八条 数据恢复过程中如遇问题,数据中心应协助 软件开发中心解决。 第二十九条 数据使用完毕,软件开发中心应及时对开发、 测试环境中的数据进行清理。 第六章 附 则 第三十条 本制度由总行信息科技部负责制订、解释和修 改。 第三十一条 本制度自 2012 年 10 月 1 日起执行。
    附件: 一、数据脱敏工具清单 二、数据介质信息及交接表
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料