信息化系统敏感信息脱敏规范

DBXX/TXXXX—XXXX

信息化系统敏感信息脱敏规范

1范围

本文件规定了信息化系统敏感信息脱敏的术语和定义、敏感信息脱敏的基本原则、脱敏规划、脱敏

流程和脱敏评价。

本文件适用于黑龙江省信息化系统敏感信息脱敏工作的规划和实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25000.51—2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可

用软件产品（RUSP）的质量要求和测试细则

3术语和定义

下列术语和定义适用于本文件。

3.1

信息化系统

支持运用信息和通讯技术进行全方位过程改造的各类计算机应用系统。

3.2

敏感信息

一旦泄露、非法提供或滥用可能会对个人、组织、甚至国家产生某种风险的信息。

3.3

信息脱敏

按照一定规则对原始信息进行处理，达到屏蔽敏感信息的一种信息保护方法。

3.4

静态脱敏

对原始信息进行一次脱敏后，脱敏后的结果可以多次使用。

3.5

动态脱敏

在敏感信息显示时，针对不同需求，对显示信息进行屏蔽处理的脱敏方式，系统通过安全措施确保

用户不能绕过信息脱敏层直接接触敏感信息。

4基本原则

4.1有效性

经过信息脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息。

1

DBXX/TXXXX—XXXX

4.2真实性

脱敏后的信息应能真实地体现原始信息的特征，保留原始信息中的有意义部分，减小对使用该信息

的系统的影响。

4.3稳定性

对相同的原始信息，在输入条件一致的前提下，多次脱敏结果应相同。

4.4可配置性

通过可配置的方式，按信息应用场景等因素输入条件，生成脱敏结果，为用户提供脱敏信息。

5脱敏规划

根据用户需求、应用场景及安全合规需求等，制定信息脱敏规划，信息脱敏规划应包括但不限于以

下内容：

a)成立专门的信息脱敏管理小组，并设置专门的脱敏操作员、安全管理员和审计管理员，分工

协作，实现“三权分离”；

b)建立敏感信息的分类分级制度、信息脱敏的工作流程、脱敏工具的运维管理制度，定期对相

关流程制度进行评审和修订；

c)定期对信息脱敏工作的相关方开展培训；

d)建立脱敏审批机制，确保信息脱敏工作安全合规。

6脱敏流程

6.1敏感信息识别

6.1.1按信息化系统业务属性和信息敏感程度，梳理信息化系统的敏感信息。

6.1.2对敏感信息进行分类分级。

6.1.3对分类分级结果进行人工复核。

6.2敏感信息标识

6.2.1识别出敏感信息后，应对敏感信息的位置和格式等进行标识。

6.2.2标识信息应随敏感信息一起流动，且不被删除和篡改。

6.3确定脱敏方法

在标识敏感信息基础上，根据应用场景的需求选择脱敏方法，脱敏方法包括静态脱敏和动态脱。脱

敏方法及信息脱敏应用场景见表1。

2

DBXX/TXXXX—XXXX

表1脱敏方法及信息脱敏应用场景

脱敏方法场景示例说明

在对真实敏感生产信息进行操作时，存在信息交换、共享、分析等第三

方信息应用（如通过API接口方式向特定平台提供数据）。此场景可采

静态脱敏系统开发、测试场景用静态脱敏，提供脱敏后的生产信息，为第三方信息应用提供适用的敏

感信息防护，保证脱敏后信息的特征、逻辑及各类数据间的一致性、业

务性关联。

第三方运维人员通过运维工具接触底层真实信息，其中也包含敏感信

息，存在安全隐患（如用电信息）。此场景可采用动态脱敏，对数据库

运维场景

账户的身份管理，数据库系统管理员账户权限限制访问，最高权限账户

动态脱敏权限、敏感信息账户、个人账户等进行严格的区分管理。

信息化系统不应有大量的敏感信息在系统上显示（如企业信用代码、法

系统日常使用场景人、手机号码）。此场景可采用动态脱敏，合规且被授权用户才可以看

到明文信息，不合规或未被授权用户只可看到脱敏后的信息。

6.4定义脱敏规则

6.4.1脱敏算法

信息脱敏算法有随机映射、固定映射、遮盖填充等。信息脱敏算法见附录A。

6.4.2脱敏规则

依据已选择的信息脱敏方法，定义脱敏规则，并对常用信息脱敏规则进行固化，避免重复定义。脱

敏信息类型及对应算法规则见附录B。

6.5执行脱敏操作

6.5.1根据已定义的信息脱敏算法，执行信息脱敏操作。

6.5.2在日常的脱敏工作中，监控和分析脱敏过程的稳定性以及对业务的影响。

6.5.3定期对脱敏工作开展安全审计，发现脱敏工作中的安全风险。

6.6评估脱敏效果

依据GB/T25000.51-2016评估脱敏后信息对信息化系统功能、性能等方面的影响，并根据验证情况

优化脱敏规划。

7脱敏评价

7.1行业主管部门、项目委托方或第三方评价机构组建评价团队，对脱敏工作进行评价。

7.2评价范围主要包括脱敏场景、脱敏技术、执行人员等。

7.3评价指标包括基本原则、脱敏规划、脱敏要求等。

7.4评价方式主要采用资料查阅、人员访谈、功能演示、技术检测等。

7.5形成评价报告，报告内容包括系统功能评价、脱敏结果评价、系统运行效率评价等。

7.6报告评审包括行业主管部门组织专家评审、项目委托方组织项目使用方评审、项目委托方组织第

三方评测机构评审。其中第三方评测机构评审结果应按GB/T25000.51-2016要求，进行测试员、监督员、

总工程师三级评审。

3

DBXX/TXXXX—XXXX

7.7处理结果包括合格、系统优化、部分整改、不合格。评审结果为合格即可进行正常运行；评审结

果为系统优化，应进行相应优化后并经内部测试后即可运行；评审结果为部分整改，应经整改后进行整

体测试重新评审；评审结果为不合格，具有安全风险与功能缺陷，应停止运行。

4

DBXX/TXXXX—XXXX

A

A

附录A

（资料性）

信息脱敏算法

信息脱敏算法表A.1.

表A.1信息脱敏算法

脱敏算法详细表述使用示例

随机映射是指采用了一定程度的随机性作为其逻辑的

将生日19841222通过随机映射脱敏为19900211。

随机映射一部分，对数值、字符或字符串进行随机，并保留原业

脱敏后的数据依然是一串具有生日特征的数据。

务特征。

设定映射规则：0→G，1→H，2→A，3→Z，4→E，

固定映射是指对一串数字设置映射种子，在映射种子不

5→O，6→K，7→L，8→M，9→Z。通过固定映射

固定映射变的情况下，相同原数据脱敏后结果相同，并保留原始

算法对原数行脱敏，结果为

业务特征。

HZOHAZEOKLM。

遮盖是指通过设置遮盖符，对原数据全部或部分进行遮设定遮盖符：*；通过遮盖填充算法对原数据

遮盖填充

盖处理。填充是指将遮盖区域用固定的字符串覆盖行脱敏，结果为135****5678。

范围内随机主要使用在对日期或金额类字符上，在一个设定范围1000至9999；通过范围内随机脱敏算

范围内随机

指定的范围内进行随机，并保留原业务特征。法对原数据38472.00进行脱敏，结果为8394.00。

浮动是指对日期或金额类型字符，设置上浮或下降固定设定上浮、下降5%；通过浮动脱敏算法对原数据

浮动

值或百分比，并保留原业务特征。1000.00进行脱敏，结果为1049.00。

归零是指对于数值类型数据采用清空并置为0.00的脱通过归零算法对原数据381.38进行脱敏，结果为

归零

敏算法。0.00。

截取是指对字符串按照起始位置、结束位置截取一定长设定开始位置：2，结束位置6，通过截取算法对

截取

度连续字符串进行截取的脱敏算法。原数据abcdefghijk进行脱敏，结果为bcdef。

设定起始位置：2，结束位置6，通过截断算法对

截断截断是指对字符串保留除起始位置以外的内容。

原数据abcdefghijk进行脱敏，结果为aghijk。

按照一定偏移量（绝对值或百分比）对时间进行向上或将时间20200701-16:31:09按照10秒偏移量、5

时间偏移向下偏移并取整到一定单位，可在保证时间数据一定分秒取整量进行时间偏移脱敏，结果为

布特征的情况下隐藏原始时间。20200701-16:31:20。

将纳税额按照规模分为高、中、低三档，分别进

分档将数据按照预设条件归类到不同档次中。

行脱敏。

使用加密算法对原始数据进行加密：

a)可使用保格式、保类型加密算法，保留数据原有格式

和类型，可在不修改应用逻辑前提下实现基于密文的检

对身份证号140****98312103253进行加密（例如

加密索和关联分析；

FF1保格式算法），结果为BEA****HIDBCBADCFD。

b)可使用保序加密算法，密文排序与明文排序一致，可

在不修改应用逻辑前提下实现基于密文的排序和精确

匹配。

5

DBXX/TXXXX—XXXX

表A.1信息脱敏算法（续）

脱敏算法详细表述使用示例

通过重排脱敏算法对序号1234进行脱敏，结果为

重排将原始数据按照特定的规则进行重新排列。

23415。

对数值类数据，在保证脱敏后数据集的总值（平均数据集{10,15,20}，总值45，平均值15，通过均

均化

值）与原数据集一致的情况下，改变数据原始值。化算法进行脱敏，结果为{13,18,19}。

对原始数据取散列值，使用散列值来代替原始数对身份证号140****98312103253进行散列，结果

散列

据。为631。

6

DBXX/TXXXX—XXXX

B

B

附录B

（资料性）

脱敏信息类型及对应的算法规则

脱敏信息类型及对应算法规则见表B.1。

表B.1脱敏信息类型及对应的算法规则

序号类别敏感信息类型算法规则

1IP地址随机映射

2户籍地址随机映射

3居住地址随机映射

4工作单位随机映射

5身份证固定映射、随机映射、遮盖

6护照号固定映射、随机映射、遮盖

7军官证固定映射、随机映射、遮盖

8港澳通行证随机映射、遮盖

9台胞证随机映射、遮盖

10姓名固定映射、随机映射、遮盖

11电话号码固定映射、随机映射、遮盖

12邮编固定映射、随机映射

13电子邮箱固定映射、随机映射

14银行卡号固定映射、随机映射、遮盖

15日期范围随机、浮动、固定映射

16个人类社保卡固定映射、随机映射、遮盖

17户籍类别固定映射、随机映射、遮盖

18兵役状况固定映射、随机映射

19房屋所有权人类型固定映射、随机映射、遮盖

20房屋所有权人姓名固定映射、随机映射、遮盖

21学历固定映射、随机映射、遮盖

22学历专业固定映射、随机映射

23学历授予学校固定映射、随机映射

24学历授予时间随机映射、数据水印、浮动

25学位代码固定映射、随机映射、遮盖

26婚姻状况固定映射、随机映射

27政治面貌固定映射、随机映射

28健康状况固定映射、随机映射

29民族固定映射、随机映射

30民族代码固定映射、随机映射

31籍贯固定映射、随机映射

7

DBXX/TXXXX—XXXX

表B.1脱敏信息类型及对应的算法规则（续）

序号类别敏感信息类型算法规则

32组织机构名称固定映射、随机映射、遮盖、数据水印

33医疗机构登记号固定映射、随机映射

34工商营业执照固定映射、遮盖

35社会统一信用代码随机映射、遮盖

36工商登记有效期限固定映射、随机映射、遮盖

37产业类别固定映射、随机映射、遮盖

38保险缴费基数固定映射、随机映射、遮盖

8

DBXX/TXXXX—XXXX

参考文献

[1]《中华人民共和国网络安全法》（中华人民共和国主席令第五十三号）

[2]《中华人民共和国数据安全法》（中华人民共和国主席令第八十四号）

[3]《中华人民共和国个人信息保护法》（中华人民共和国主席令第九十一号）

[4]《黑龙江省促进大数据发展应用条例》（2022年5月13日黑龙江省第十三届人民代表大会常务

委员会第三十三次会议通过）

9

ICS35.240.30

CCSL70

23

黑龙江省地方标准

DBXX/TXXXX—XXXX

信息化系统敏感信息脱敏规范

（征求意见稿）

2023-XX-XX发布2023-XX-XX实施

黑龙江省市场监督管理局发布

DBXX/TXXXX—XXXX

信息化系统敏感信息脱敏规范

1范围

本文件规定了信息化系统敏感信息脱敏的术语和定义、敏感信息脱敏的基本原则、脱敏规划、脱敏

流程和脱敏评价。

本文件适用于黑龙江省信息化系统敏感信息脱敏工作的规划和实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25000.51—2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可

用软件产品（RUSP）的质量要求和测试细则

3术语和定义

下列术语和定义适用于本文件。

3.1

信息化系统

支持运用信息和通讯技术进行全方位过程改造的各类计算机应用系统。

3.2

敏感信息

一旦泄露、非法提供或滥用可能会对个人、组织、甚至国家产生某种风险的信息。

3.3

信息脱敏

按照一定规则对原始信息进行处理，达到屏蔽敏感信息的一种信息保护方法。

3.4

静态脱敏

对原始信息进行一次脱敏后，脱敏后的结果可以多次使用。

3.5

动态脱敏

在敏感信息显示时，针对不同需求，对显示信息进行屏蔽处理的脱敏方式，系统通过安全措施确保

用户不能绕过信息脱敏层直接接触敏感信息。

4基本原则

4.1有效性

经过信息脱敏处理后，原始信息中包含的敏感信息已被移除，无法通过处理后的数据得到敏感信息。

1

DBXX/TXXXX—XXXX

4.2真实性

脱敏后的信息应能真实地体现原始信息的特征，保留原始信息中的有意义部分，减小对使用该信息

的系统的影响。

4.3稳定性

对相同的原始信息，在输入条件一致的前提下，多次脱敏结果应相同。

4.4可配置性

通过可配置的方式，按信息应用场景等因素输入条件，生成脱敏结果，为用户提供脱敏信息。

5脱敏规划

根据用户需求、应用场景及安全合规需求等，制定信息脱敏规划，信息脱敏规划应包括但不限于以

下内容：

a)成立专门的信息脱敏管理小组，并设置专门的脱敏操作员、安全管理员和审计管理员，分工

协作，实现“三权分离”；

b)建立敏感信息的分类分级制度、信息脱敏的工作流程、脱敏工具的运维管理制度，定期对相

关流程制度进行评审和修订；

c)定期对信息脱敏工作的相关方开展培训；

d)建立脱敏审批机制，确保信息脱敏工作安全合规。

6脱敏流程

6.1敏感信息识别

6.1.1按信息化系统业务属性和信息敏感程度，梳理信息化系统的敏感信息。

6.1.2对敏感信息进行分类分级。

6.1.3对分类分级结果进行人工复核。

6.2敏感信息标识

6.2.1识别出敏感信息后，应对敏感信息的位置和格式等进行标识。

6.2.2标识信息应随敏感信息一起流动，且不被删除和篡改。

6.3确定脱敏方法

在标识敏感信息基础上，根据应用场景的需求选择脱敏方法，脱敏方法包括静态脱敏和动态脱。脱

敏方法及信息脱敏应用场景见表1。

2