DB23/T 3508-2023 信息化系统敏感信息脱敏规范

ICS35.240.30

CCSL70

23

黑龙江省地方标准

DB23/T3508—2023

信息化系统敏感信息脱敏规范

2023-07-05发布2023-08-04实施

黑龙江省市场监督管理局  发布

DB23/T3508—2023

目次

前言..................................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4基本原则............................................................................1

有效性..........................................................................1

真实性..........................................................................2

稳定性..........................................................................2

可配置性........................................................................2

5脱敏规划............................................................................2

6脱敏流程............................................................................2

敏感信息识别....................................................................2

敏感信息标识....................................................................2

确定脱敏方法....................................................................2

定义脱敏规则....................................................................3

执行脱敏操作....................................................................3

评估脱敏效果....................................................................3

7脱敏评价............................................................................3

附录A（资料性）信息脱敏算法及示例....................................................4

附录B（资料性）脱敏信息类型及对应的算法规则..........................................5

参考文献...............................................................................7

I

DB23/T3508—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

本文件由黑龙江省互联网信息办公室提出并归口。

本文件起草单位：黑龙江省网络空间研究中心、中国航发哈尔滨东安发动机有限公司、黑龙江大学、

哈尔滨理工大学、黑龙江省生态环境监测中心。

本文件主要起草人：周莹、张立新、冯亚娜、李志刚、姜永涛、张驰、徐进、齐红、谷俊涛、陈靖

宇、彭加亮、孟庆川、呼大永、姜天一、吴琼、马超、李晗、顾平、徐俊伟。

本文件为首次发布。

II

DB23/T3508—2023

信息化系统敏感信息脱敏规范

1范围

本文件规定了信息化系统敏感信息脱敏的术语和定义、敏感信息脱敏的基本原则、脱敏规划、脱敏

流程和脱敏评价。

本文件适用于信息化系统敏感信息脱敏工作的规划和实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25000.51系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软

件产品（RUSP）的质量要求和测试细则

3术语和定义

下列术语和定义适用于本文件。

信息化系统

支持运用信息和通讯技术进行全方位过程改造的各类计算机应用系统。

敏感信息

一旦泄露、非法提供或滥用可能会对个人、组织、甚至国家产生某种风险的信息。

信息脱敏

按照一定规则对原始信息进行处理，达到屏蔽敏感信息的一种信息保护方法。

静态脱敏

对原始信息进行一次脱敏后，脱敏后的结果可以多次使用。

动态脱敏

在敏感信息显示时，针对不同需求，对显示信息进行屏蔽处理的脱敏方式，系统通过安全措施确保

用户不能绕过信息脱敏层直接接触敏感信息。

4基本原则

有效性

经过信息脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息。

1

DB23/T3508—2023

真实性

脱敏后的信息应能真实地体现原始信息的特征，保留原始信息中的有意义部分，减小对使用该信息

的系统的影响。

稳定性

对相同的原始信息，在输入条件一致的前提下，多次脱敏结果应相同。

可配置性

通过可配置的方式，按信息应用场景等因素输入条件，生成脱敏结果，为用户提供脱敏信息。

5脱敏规划

根据用户需求、应用场景及安全合规需求等，制定信息脱敏规划，信息脱敏规划应包括但不限于以

下内容：

a)成立专门的信息脱敏管理小组，按角色分配工作权限，形成脱敏过程的监督机制；

b)建立敏感信息的分类分级制度、信息脱敏的工作流程、脱敏工具的运维管理制度，定期对相

关流程制度进行评审和修订；

c)定期对信息脱敏工作的相关方开展培训；

d)建立脱敏审批机制，确保信息脱敏工作安全合规。

6脱敏流程

敏感信息识别

6.1.1按信息化系统业务属性和信息敏感程度，梳理信息化系统的敏感信息。