DSMM數據安全能力成熟度評估

     隨著信息技術的發展，人類社會已經進入數字時代，數據的指數級增長已經成為常態。數據具有極大的價值變現特點，世界各國都強烈意識到數據的重要性。然而，數據的價值變現、有效利用的前提是數據是安全的，所以，數據安全的保護能力，是數據有效利用的基礎。我國也從國家層面，制定了相關法律法規，明確要求要合規、合法、有效的做好數據安全的保護。

    DSMM 標準關注企業自身業務產生的數據和與外部第三方組織交互的數據，以衡量組織機構的數據安全能力，促進組織機構了解并提升自身的數據安全水平。

    DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。

1.四個安全能力維度:組織建設、制度流程、技術工具、人員能力；

2.七個安全過程維度：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全，共計30個過程域；

3.五個安全能力等級：從低到高依次1至5級。

DSMM每個級別有什么區別

DSMM等級劃分與核心特點如下：
L1非正式執行：執行非正式過程，隨機、無序、被動執行安全過程，依賴個人經驗，無法復制。

L2計劃跟蹤：在業務系統級別主動實現了安全過程的計劃與執行，但沒有形成體系化，可驗證過程執行與計劃一致，跟蹤、控制執行的進展。

L3充分定義：在組織級別實現了安全過程的規范執行，標準過程進行制度化，過程可重復執行，執行結果可核查。

L4量化控制：建立了量化目標，安全過程可度量。

L5持續優化：根據組織的整體目標，不斷改進和優化組織能力和安全過程有效性。

申請什么級別主要依據企業的實際情況來判斷，沒有硬性規定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數據安全實踐水平的組織申請，DSMM4級適合在數據安全領域建設水平領先的組織申請，DSMM5級暫不開放申請。當企業不確定能報幾級時，可以聯系佳普做分析預評估，0571-85131053。

DSMM貫標流程

Step1：差距分析——Step2：能力建設——Step3：測量評估。

企業如何開展貫標準備工作？

準備工作分為三個階段：

（1）差距分析：對照能力等級標準的相關要求，梳理本企業數據管理的相關制度、執行過程文檔、數據管理平臺和工具的相關資料，進行差距分析，制定建設提升工作計劃。

（2）能力建設：健全數據管理組織，完善數據管理制度體系，優化數據管理平臺和工具，開展對標自評估。

（3）量化評估：組建評估隊伍，提交正式評估申請，開展第三方評估，獲取評估結果和提升整改意見。

DSMM的評價方法主要是評分制，先對每個過程域（PA）的四個能力維度（BP）進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

DSMM是針對企業數據安全管理和應用能力的評估框架，從標準本身講，任何企業都可以申請，目前主要適用于兩類。

一是數據擁有方：大數據企業、信息技術產業、互聯網企業、金融業、銀行業、保險業、證券行業、保險業、電子商務平臺、數據中心、政務和高校等企事業單位。

二是數據方案提供方：數據開發/運營商、信息系統建設和服務提供商、信息技術服務提供商等。

可通過國家市場監督管理總局全國認證認可信息公共服務平臺（http://cx.cnca.cn/CertECloud/index/index/page）查詢證書詳情，并核查驗證證書的有效性。

企業獲取DSMM證書后如何維持證書的有效性

證書有效期為三年，根據現行評估規則不需要每年監督。證書到期前至少提前三個月申請再認證評估。

1.等保標準以備案系統為主要評估對象，偏向傳統網絡系統安全，側重于物理安全、網絡安全、安全建設管理等方面的網絡系統安全保護。

2.ISO27001標準是以組織為對象，偏向信息安全管理，側重于指導組織依據信息安全風險評估的結果選擇合適的控制措施，設計構建信息安全管理體系。

3.DSMM標準也是以組織為評估對象，聚焦數據全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業務貼合緊密的數據安全架構。

對通過國家《數據安全能力成熟度模型》（GB/T 37988—2019，DSMM）、《數據管理能力成熟度評估模型》（GB/T 36073—2018，DCMM）認證的企業，最高可領取50萬元的補貼。