敏感数据治理流程

敏感数据定义

敏感数据主要指未经个人或集团授权被他人使用，有可能给个人或集团带来严重损害的数据。

以《GBT 35273-2020 信息安全技术个人信息安全规范》为例，个人敏感数据有：

• 个人财产信息 （存款、信贷、消费流水）
• 个人健康生理信息（体检信息、医疗记录）
• 个人生物识别信息（指纹、面部特征）
• 个人身份信息（身份证、社保卡、驾驶证）
• 其他信息（宗教信仰、精准定位）

敏感数据的保护方式

• 敏感数据识别与添加标签

  从海量数据中将数据进行分类分级，方便进行不同粒度和级别的安全管理。

• 数据泄露检测与防护

  如果出现频繁访问敏感数据的异常行为，可以及时进行风险告警。

• 数据静态脱敏、数据水印

  对于已标记特定安全级别的敏感数据，可在对外提供数据时进行脱敏或者加水印。

• 个人信息合规

  精准区分和保护个人数据，避免产生合规问题。

• 满足GDPR要求

  满足GDPR关于在海量数据中找到和保护敏感数据的要求，可对敏感数据的使用进行审计。

• 数据安全合规检查

  通过对敏感数据的分析，制定数据安全合规管理制度，帮助企业建设以及改善信息安全合规管理体系。

敏感数据识别流程

在执行识别敏感数据任务之前，您可通过图1了解敏感数据识别流程。

图1 敏感数据识别流程图

1. 定义数据密级

   在对数据进行操作前，为数据定义密级，用以明确涉密的范围。

2. 定义数据分类

   当数据密级已经无法满足大数据量下的数据分级分类诉求时，您可以进一步为不同价值的数据定义数据分类，以更好地管理和分组计量自己的数据。

3. 定义识别规则

   定义敏感数据识别标准。

4. 定义识别规则组

   通过定义敏感数据识别规则及规则组，来有效识别数据库内的敏感数据。

5. 敏感数据发现

   创建并运行敏感数据识别任务。

6. 敏感数据分布

   查看敏感数据识别任务识别出的敏感数据。