ICS35.240.30CCSL7023IDB23/T3508—2023前言 2規(guī)范性引用文件 3術(shù)語和定義 4基本原則 有效性 真實(shí)性 2穩(wěn)定性 2可配置性 25脫敏規(guī)劃 26脫敏流程 2敏感信息識別 2敏感信息標(biāo)識 2確定脫敏方法 2定義脫敏規(guī)則 3執(zhí)行脫敏操作 3評估脫敏效果 37脫敏評價 3附錄A（資料性）信息脫敏算法及示例 4附錄B（資料性）脫敏信息類型及對應(yīng)的算法規(guī)則 5參考文獻(xiàn) 7DB23/T3508—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本文件由黑龍江省互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：黑龍江省網(wǎng)絡(luò)空間研究中心、中國航發(fā)哈爾濱東安發(fā)動機(jī)有限公司、黑龍江大學(xué)、哈爾濱理工大學(xué)、黑龍江省生態(tài)環(huán)境監(jiān)測中心。本文件主要起草人：周瑩、張立新、馮亞娜、李志剛、姜永濤、張馳、徐進(jìn)、齊紅、谷俊濤、陳靖宇、彭加亮、孟慶川、呼大永、姜天一、吳瓊、馬超、李晗、顧平、徐俊偉。本文件為首次發(fā)布。1僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T25000.51系統(tǒng)與軟件工程系統(tǒng)與軟件質(zhì)量要求和評價(SQuaRE)第51部分：就緒可用軟件產(chǎn)品(RUSP)的質(zhì)量要求和測試細(xì)則一旦泄露、非法提供或?yàn)E用可能會對個人、組2通過可配置的方式，按信息應(yīng)用場景等因素輸入條件，生a)成立專門的信息脫敏管理小組，按角色分配工b)建立敏感信息的分類分級制度、信息脫敏的工作流程、脫敏工具的運(yùn)維管理制度，定期對相6.1.2對敏感信息進(jìn)行分類分級。6.2.2標(biāo)識信息應(yīng)隨敏感信息一起流動，且不被刪除和篡改。在標(biāo)識敏感信息基礎(chǔ)上，根據(jù)應(yīng)用場景的需求選擇脫敏方法，脫敏方法包括靜態(tài)脫場景示例說明在對真實(shí)敏感生產(chǎn)信息進(jìn)行操作時，存在信息交換、共信息應(yīng)用(如通過API接口方式向特定平臺提供數(shù)據(jù))態(tài)脫敏，提供脫敏后的生產(chǎn)信息，為第三方信息應(yīng)用提供適用的敏感信息3場景示例說明第三方運(yùn)維人員通過運(yùn)維工具接觸底層真實(shí)信息，其中也包含敏感信存在安全隱患(如用電信息)。此場景可采用動態(tài)脫敏，對數(shù)據(jù)庫賬戶的身份管理，數(shù)據(jù)庫系統(tǒng)管理員賬戶權(quán)限限制感信息賬戶、個人賬戶等進(jìn)行嚴(yán)格的區(qū)分管理。信息化系統(tǒng)不應(yīng)有大量的敏感信息在系統(tǒng)上顯示(如代表人、法人代表、手機(jī)號碼)。此場景可采用動態(tài)脫敏，合規(guī)且被授權(quán)用戶才可以看到明文信息，不合規(guī)或未被授權(quán)用戶只可看到脫敏后的信6.5執(zhí)行脫敏操作6.5.1根據(jù)已定義的信息脫敏算法，執(zhí)行信息脫敏操作。7.5形成評價報告，報告內(nèi)容包括系統(tǒng)功能評價、脫敏結(jié)果評價、系統(tǒng)運(yùn)行效率評價7.6報告評審包括行業(yè)主管部門組織專家評審、項(xiàng)目委托方組織項(xiàng)目使用方評審、項(xiàng)目委托方組織第7.7評審結(jié)果包括合格、系統(tǒng)優(yōu)化、部分整改、不合格。評審結(jié)果為合格即可進(jìn)行正常運(yùn)行；評審結(jié)體測試重新評審；評審結(jié)果為不合格，具有安全風(fēng)險與功能缺陷DB23/T3508—20234（資料性）信息脫敏算法及示例信息脫敏算法表及示例見表A.1。表A.1信息脫敏算法表及示例歸零是指對于數(shù)值類型數(shù)據(jù)采用清空并置為0.00設(shè)定開始位置：2，結(jié)束位置6，通過截取算法對原設(shè)定起始位置：2，結(jié)束位置6，通過截斷算法對原），5（資料性）脫敏信息類型及對應(yīng)的算法規(guī)則脫敏信息類型及對應(yīng)的算法規(guī)則見表B.1。表B.1脫敏信息類型及對應(yīng)的算法規(guī)則1234567896表B.1脫敏信息類型及對應(yīng)的算法規(guī)則（續(xù)）DB23/T3508—20237參考文獻(xiàn)[1]《中華人民共和國網(wǎng)絡(luò)安全法》（中華人民共和國主席令第五十三號）[2]《中華人民共和國數(shù)據(jù)安全法》（中華人民共和國主席令第八十四號）[3]