<label id="7rwi5"></label>

<rt id="7rwi5"></rt>

DSMM數據安全能力成熟度

DSMM是Data Security capability MaturityModel的縮寫，中文名為數據安全能力成熟度模型。是以2019-08-30 發布，2020-03-01 實施的GB/T 37988-2019 《信息安全技術數據安全能力成熟度模型》為依據的數據安全保護體系。

數據安全能力成熟度認證（DSMM）依據國標《信息安全技術數據安全能力成熟度模型》（GB/T 37988-2019）的相關內容，圍繞數據生存周期過程中經歷的多個階段及數據通用安全，從組織建設、制度流程、技術工具、人員能力共四個維度對企業數據安全能力進行評估。該標準可作為一套方法理論，為企業在建設數據安全體系過程中提供指南，幫助組織發現自身數據安全存在的問題，識別差距并制定相關策略，建立完善數據安全體系，最終提升行業競爭力，滿足國家法規責任落實要求。標準涵蓋5個成熟度級別、30個數據安全能力過程域和576個基本實踐，目前該標準已在金融、醫療、公共通信和信息服務等多個領域落地使用。

DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。

四個安全能力維度:組織建設、制度流程、技術工具、人員能力；

七個安全過程維度：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全，共計30個過程域；

五個安全能力等級：從低到高依次1至5級。

DSMM標準的適用范圍非常廣泛，沒有行業的限制，對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM，包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。

申報意義

發展要求

隨著信息技術的發展，人類社會已經進入數字時代，數據的指數級增長已經成為常態。數據具有極大的價值變現特點，世界各國都強烈意識到數據的重要性。然而，數據的價值變現、有效利用的前提是數據是安全的，所以，數據安全的保護能力，是數據有效利用的基礎。

法規要求

中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》，數據首次被作為要素寫入《意見》，加強數據資源整合和安全保護，探索建立統一規范的數據管理制度。從國家層面，制定了相關法律法規，明確要求要合規、合法、有效的做好數據安全的保護。

管理要求

促進組織機構了解并提升自身的數據安全水平，從數據生命周期的角度出發，結合各類數據業務發展所體現的安全需求開展數據安全保障工作，企業在高速發展的過程中，需要提高自身數據安全管理能力，匹配相應的管理資源，讓組織的數據資源得到有效、合理、合規的保護。

技術要求

保障數據在組織機構之間安全地交換與共享，充分發揮數據的價值，打造更安全的大數據應用環境。數據作為企業最具有核心價值的資產，一直以來是網絡安全工作的重點，所有的安全工作也都是圍繞數據安全開展的。DSMM是對數據全生命周期進行安全防護，提高數據安全保護能力。

申報流程

差距分析階段
企業數據安全管理水平調研，并依據標準做差距分析，為能力建設做準備。
咨詢輔導貫標
標準講解、審核要點難點講解分析、審核前企業需準備材料，進行標準宣貫。
能力建設階段
輔導企業進行數據安全能力建設，指導企業運行數據安全管理能力成熟度模型。
機構現場審核
DSMM數據安全管理能力成熟度授權審核機構審核員對申報企業進行審核。
認證證書發放
數據安全管理能力成熟度審核機構對通過現場審核的企業頒發相應等級證書。

等級劃分

L1非正式執行

主要特點：數據安全工作是隨機、無序、被動執行的，依賴與個人，經驗無法復制。

組織在數據安全領域未執行有效的相關工作，僅在部分場景或項目的臨時需求執行相關工作，未形成成熟的機制，來保障數據安全相關工作的持續開展。
L2計劃跟蹤

主要特點：在項目級別主動實現了安全過程的計劃與執行，沒有形成體系化。

規劃執行，對數據安全過程進行規劃，提前分配資源和責任；

規范化執行，對安全過程進行控制，使用安全執行計劃，執行相關標準和程序的過程，對數據安全過程實施配置管理；

驗證執行，確認過程按照預定的方式執行，驗證執行過程與可應用的計劃是一致的，對數據安全過程進行審計；

跟蹤執行，控制數據安全項目的進展，通過可測量的計劃跟蹤過程執行，當過程實踐與計劃產生重大的偏離時采取修正行動。
L3充分定義

主要特點：在組織級別實現了安全過程的規范定義和執行。

定義標準過程，組織對標準過程進行制度化，形成標準化過程文檔，為滿足特定用途對標準過程進行裁剪；

執行已定義的過程，充分定義的過程可重復執行，針對有缺陷的過程結果和安全實踐的核查，使用過程執行的結果數據；

協調安全實踐，對業務系統和組織的協調，確定業務系統內，各業務系統之間、組織外部活動的協調機制。
L4量化控制

主要特點：建立了量化目標，安全過程可量化度量和預測。

建立可測的目標，為組織數據安全建立可測量的目標；

客觀的管理執行，確定過程能力的量化測量來管理安全過程，以量化測量作為修正行動的基礎。
L5持續優化

主要特點：根據組織的整理戰略和目標，不斷改進和優化數據安全過程。

改進組織能力，在整個組織范圍內的標準過程使用情況進行比較，尋找改進標準過程的機會，分析對標準過程的可能變更。

改進過程有效性，制定處于連續受控改進狀態下的標準過程，提出消除標準過程產生缺陷的原因和持續改進的標準過程。

評級要點

DSMM模型將數據生命周期分為了數據采集、數據傳輸、數據存儲、數據處理、數據交換和數據銷毀六大階段，40個過程域（PA），其中包含16個通用安全過程域，和24個數據生命周期各階段安全過程域，如下圖所示：

DSMM的評價方法主要是評分制，先對每個過程域（PA）的四個能力維度（BP）進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

其中重要關注以下幾點：

1、組織建設

—— 數據安全組織架構對組織業務的適應性；

—— 數據安全組織架構承擔的工作職責的明確性；

—— 數據安全組織架構運作、協調、溝通的有效性；

2、制度流程

—— 數據生命周期的關鍵控制節點授權審批流程的明確性；

—— 相關流程、制度的制定、發布、修訂的規范性；

—— 安全要求及落地執行的一致性和有效性。

3、技術與工具

—— 數據安全技術在數據全生命周期過程中的使用情況，針對數據安全風險的檢測及相應能力；

—— 利用技術工具對數據安全工作的自動化和持續支持能力，對數據安全制度流程的固化執行能力。

4、人員能力

—— 數據安全人員所具備的安全技能是否能滿足復合型能力要求；

—— 數據安全人員的數據安全意識以及關鍵數據安全崗位員工的數據安全能力培養。