99-南宁数据中台 数据脱敏工作指南 v0.3.docx

PAGE6

PAGE7

ICS编号

CCS编号

南宁市数据中台技术标准

数据脱敏工作指南

Guidelinesfordatadesensitization

（征求意见稿）

FORMTEXT2021-FORMTEXTxx-FORMTEXTxx发布

FORMTEXT2021-FORMTEXTxx-FORMTEXTxx实施

DB

DB4501/Txxxx-2021

南宁市大数据发展局

南宁市大数据发展局发布

目次

TOC\o1-3\h\z\u前言 3

引言 4

数据脱敏工作指南 5

1范围 5

2规范性引用文件 5

3术语和定义 5

4总则 6

4.1数据脱敏原则 6

4.2数据脱敏管理 7

5数据脱敏流程 8

5.1发现敏感数据 8

5.2标识敏感数据 9

5.3确定脱敏场景 9

5.4选择脱敏方法 9

5.5定义脱敏规则 10

5.6执行脱敏操作 10

5.7评估脱敏效果 11

6常用脱敏方法 11

6.1泛化 11

6.2抑制 11

6.3扰乱 12

6.4有损 12

参考文献 13

前言

本标准按GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的规则起草。

请注意：本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

本标准由广西壮族自治区南宁市大数据发展局提出并归口。

本标准起草单位：南宁市信息网络管理中心、杭州数梦工场科技有限公司、煜象科技（杭州）有限公司。

本标准主要起草人：xxx、xxx、谭波、吕皖如、邵昶游、沈岭、王吉、刘拓、王俊、汪涛、杨欣。

引言

本标准的制定旨在推进南宁市公共服务大数据治理与应用平台项目软件开发与集成项目的开发工作，为项目的数据开发和服务工作提供指导和依据。

数据脱敏工作指南

范围

本标准规定了南宁市公共服务大数据治理与应用平台项目软件开发与集成项目（以下简称“项目”）的数据安全中的数据脱敏的工作规范。

本标准适用于项目的数据脱敏工作的规划、实施和管理。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T5271.1-2000信息技术词汇第1部份：基本术语

GB/T39477-2020信息安全技术政务信息共享数据安全技术要求

GB/T35273-2020信息安全技术个人信息安全规范

术语和定义

下列术语和定义适用于本标准。

数据data

信息的可再解释的形式化表示，以适用于通信、解释或处理。

注：可以通过人工或字段手段处理数据。

[GB/T5271.1-2000，定义01.01.02]

数据安全datasecurity

采用技术和管理措施来保护数据的保密性、完整性和可用性等。

[GB/T39477-2020，定义3.1]

敏感信息sensitiveinformation

等价于敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。

[GB/T39477-2020，定义3.7]

数据脱敏datadesensitization

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

个人敏感信息personalsensitiveinformation

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注：个人信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。

[GB/T35273，定义3.2]

总则

数据脱敏原则参考DB52/T1126-2016

参考DB52/T1126-2016政府数据数据脱敏工作指南，3.1.1技术原则

有效性

数据脱敏的最基本原则就是要去掉数据中的敏感信息，保证数据安全，这是对数据脱敏工作最基本的要求。有效性原则要求经过数据脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息；或者需通过巨大经济代价、时间代价才能得到敏感信息，其成本已远远超过数据本身的价