Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27038:2014 数字脱敏技术标准
安全且不可逆的数字脱敏国际标准
一、ISO/IEC 27038:2014 数字脱敏概述
ISO/IEC 27038:2014 是首个专门针对数字脱敏的国际标准——即在保留其余内容完整性和可用性的同时,从文档中永久移除敏感或涉密信息的过程。与简单的文档清理技术(如黑色方框或白色高亮,这些通常可以被逆转)不同,标准要求永久性移除,使被脱敏的信息不可恢复。
真正的数字脱敏是不可逆的。仅在 PDF 查看器中的文字上放置黑色方框并不是脱敏——底层文本仍然可以访问。ISO/IEC 27038 规定了从文件结构中永久清除被脱敏数据的方法。
本标准适用于需要发布同时包含公开和敏感信息的文档的组织,例如响应信息公开请求的政府机构、制作证据开示文件的法律团队、披露去标识化患者记录的医疗保健机构,以及发布董事会材料的公司。标准涵盖了文本文档、电子表格、演示文稿、PDF、包含文字的图像以及结构化数据格式的脱敏。
| 文档类型 | 脱敏挑战 | 标准要求 |
|---|---|---|
| 隐藏层、元数据、注释 | 移除所有内容层、展平注释、清理元数据 | |
| Office 文档(DOCX/XLSX/PPTX) | 嵌入数据、修订历史、批注 | 剥离嵌入数据、移除修订标记、删除批注 |
| 图像(扫描文档) | OCR 文本层、图像元数据 | 移除 OCR 文本层、清理 EXIF 数据、覆盖像素区域 |
| HTML/XML | 标记、脚本、链接资源 | 移除敏感元素、清理属性、清理嵌入资源 |
二、有效脱敏的技术要求
ISO/IEC 27038 规定了脱敏工具和流程必须满足的多项技术要求。脱敏过程必须从文档的所有层面移除被脱敏信息,包括可见内容、隐藏文本、元数据、批注、修订标记、嵌入对象和文件属性。脱敏后,必须验证文档,确认无残留敏感信息。标准建议使用专用脱敏软件而非通用文档编辑工具,因为后者通常会留下可恢复的脱敏内容痕迹。
使用简单的图形覆盖进行脱敏会带来严重的安全风险。研究表明,PDF 中由黑色方框遮蔽的脱敏信息通常可以通过简单的技术恢复,如复制文本到剪贴板、提取底层文本层或解压文件流。
脱敏验证与质量保证
标准引入了脱敏验证的概念——一种结构化的质量保证流程,用于验证脱敏是否正确执行。验证应包括对脱敏后文档的视觉检查、对隐藏或残留数据的自动扫描、特定于文件格式的验证检查,以及与原始文档的比对以确认只有预期内容被脱敏。工程团队应实施多人复核工作流,其中脱敏操作员和验证员应分别由不同人员担任,以降低疏忽风险。
三、治理、策略与审计要求
超越技术层面,ISO/IEC 27038 阐述了数字脱敏所需的治理框架。组织必须建立脱敏策略,明确角色与职责、批准的脱敏方法、验证程序和审计要求。标准建议为每次脱敏操作维护审计日志,记录操作员、日期、文档标识符和验证结果。对于高敏感度脱敏,标准建议由第二位合格人员进行独立验证,并定期进行程序审计。
基于 ISO/IEC 27038 建立稳健的脱敏程序不仅能防止敏感信息的不当披露,还能与依赖组织在共享文档时妥善保护机密数据能力的利益相关者建立信任。
从工程角度来看,本标准最有价值的贡献在于其对自动化和工具验证的强调。组织不应依赖对单个文档进行手动脱敏,而应投资建设自动化的脱敏流水线,与文档管理系统集成,根据文档分类和数据敏感度应用一致的规则,并生成适合监管审查的审计追踪。应按照标准的要求评估基于云的脱敏服务,特别是在数据驻留、加密和服务提供商访问未脱敏内容方面的要求。实施自动化脱敏工作流时,建议采用”先分类、再脱敏、后验证”的三步法,确保每个环节都有明确的责任人和质量门禁。
常见问题
问:ISO/IEC 27038 合规的脱敏是否可以应用于扫描文档?
答:可以,但标准要求分别对图像层和任何 OCR 文本层进行脱敏。在脱敏版本通过验证后,原始未脱敏的扫描件应予销毁。
答:可以,但标准要求分别对图像层和任何 OCR 文本层进行脱敏。在脱敏版本通过验证后,原始未脱敏的扫描件应予销毁。
问:清理和脱敏有何区别?
答:清理是移除所有敏感信息以创建可安全发布的文档,而脱敏是选择性移除特定部分同时保留其余内容。ISO/IEC 27038 专注于选择性脱敏。
答:清理是移除所有敏感信息以创建可安全发布的文档,而脱敏是选择性移除特定部分同时保留其余内容。ISO/IEC 27038 专注于选择性脱敏。
问:脱敏工具如何验证?
答:标准推荐结合视觉检查、自动残留数据扫描、特定格式结构分析以及使用已知漏洞模式进行定期独立测试。
答:标准推荐结合视觉检查、自动残留数据扫描、特定格式结构分析以及使用已知漏洞模式进行定期独立测试。
