《信息安全技術 數據安全能力成熟度模型》（GB／T 37988－2019）簡稱DSMM正式成為國標對外發布，并已正式實施。美創科技將以DSMM數據安全治理思路為依托，針對各過程域，基于充分定義級視角（3級），提供數據安全建設實踐建議，形成系列文章。本文作為數據安全能力成熟度模型系列第十篇文章，將介紹數據處理階段的數據脫敏過程域（PA10）。

01定義

數據脫敏，DSMM官方描述定義為根據相關法律法規、標準的要求以及業務需求，給出敏感數據的脫敏需求和規則，對敏感數據進行脫敏處理，保證數據可用性和安全性的平衡。

DSMM標準在充分定義級對數據脫敏要求如下：

1．       組織建設

①      美創科技專家建議組織應設立統一的數據安全崗位和人員，負責制定數據脫敏的原則和方法，并提供相關技術能力；

②      在數據權限的申請階段，有相關人員應評估使用真實數據的必要性，以及確定該場景下適用的數據脫敏規則及方法。

2．       制度流程

①      應明確組織的數據脫敏規范，明確數據脫敏的規則、脫敏方法利使用限制等；

②      應明確需要脫敏處理的應用場景、脫敏處理流程、涉及部門及人員的職責分工。

3．       技術工具

①      組織應提供統一的數據脫敏工具，實現數據脫敏工具與數據權限管理系統的聯動，以及數據使用前的靜態脫敏；

②      應提供面向不同數據類型的脫敏方案，可基于場景需求自定義脫敏規則；

③      數據脫敏后應保留原始數據格式和特定屬性，滿足開發與測試需求；

④      應對數據脫敏處理過程相應的操作進行記錄，以滿足數據脫敏處理安全審計要求。

4．       人員能力

①      應熟悉常規的數據脫敏技術，能夠分析數據脫敏過程中存在的安全風險，基于數據脫敏的具體場景保證業務和安全之間的需求平衡；

②      應具備對數據脫敏的技術方案定制化的能力，能夠基于組織內部各級別的數據建立有效的數據脫敏方案；

02實踐指南

1．       組織建設

美創科技專家建議組織機構在條件允許的情況下應該設立數據脫敏部門并招募相關的技術人員和管理人員，負責為公司制定整體的數據脫敏原則和制度，并推動相關要求確實可靠的落地執行。

除此之外，還需要為公司定義不同等級的敏感數據脫敏處理情景、標準操作流程、標準方法，為公司建立統一的安全審計機制，用于記錄和監督數據脫敏各階段的操作行為，方便后續的問題排查和事件溯源等，在申請數據權限的階段中，還應該提供評估使用真實數據必要性的服務支持，并確定在當前業務場景下應該采用的數據脫敏規則和方法。

2．       人員能力

針對數據脫敏部門的管理人員來說，必須具備良好的數據安全風險意識，熟悉國家網絡安全法律法規以及組織機構所屬行業的政策和監管要求，在進行數據脫敏管理以及數據脫敏原則制定的時候，嚴格按照《網絡安全法》、《數據安全法》等國家相關法律法規和行業規范執行。

同時還需要相關人員具備一定的數據安全管理經驗，擁有良好的數據脫敏專業知識基礎，熟悉主流廠商的數據脫敏解決方案，熟悉常規的數據脫敏技術，能提前分析出數據脫敏過程中可能存在的安全風險，能夠與具體的業務場景結合，保持數據脫敏過程中業務與安全之間的平衡，具備對數據脫敏技術方案進行定制化的能力，能夠基于組織機構內部各級別的數據建立行之有效的數據脫敏解決方案。

針對數據脫敏部門的實施人員來說，必須具備良好的數據安全風險意識，熟悉相關法律法規以及政策要求，熟悉主流廠商的數據脫敏方案、熟悉市面上常用的數據脫敏工具，擁有至少一年以上的數據脫敏實施經驗，熟悉公司內部應用場景、業務場景，能夠快速有效地實施由管理部門輸出的定制化數據脫敏方案，并保障完成質量。同時還應該具備一定的應急響應能力，當在數據脫敏過程中發生了突發事件或意外情況，能夠快速響應進行上報，保障原始數據安全以及脫敏數據的完整性和可用性等。

3．       落地執行性確認

針對數據脫敏崗位人員能力的實際落地執行性確認，可通過內部審計、外部審計等形式以調研訪談、問卷調查、流程觀察、文件調閱、技術檢測等多種方式實現。