數(shù)據要素是參與社會生產經營活動，帶來經濟效益的數(shù)據資源，是國家發(fā)展的戰(zhàn)略性、基礎性資源，也是驅動數(shù)字經濟發(fā)展的強大動力。數(shù)據資產為企業(yè)和組織帶來發(fā)展機遇的同時，也發(fā)生了大量數(shù)據安全事件，安全威脅日益嚴重，數(shù)據安全保護能力是網絡運營者在數(shù)據經濟時代的緊迫議題，也是充分釋放數(shù)據資源價值的關鍵環(huán)節(jié)。

01DSMM評估的價值

GB/T 37988-2019《信息安全技術 數(shù)據安全能力成熟度模型》（簡稱DSMM）標準要求是評估的依據。DSMM是從數(shù)據安全管理的角度，以企業(yè)組織的數(shù)據為核心，圍繞數(shù)據全生命周期進行分析、發(fā)現(xiàn)數(shù)據安全風險。通過DSMM評估，可以對企業(yè)或組織核心業(yè)務系統(tǒng)所面臨的數(shù)據安全風險進行發(fā)現(xiàn)、識別和定性，幫助企業(yè)組織高效地定位自身數(shù)據安全短板、為企業(yè)組織提出具有針對性的數(shù)據安全能力提升路徑、防范數(shù)據安全事件風險，最終幫助企業(yè)組織獲得數(shù)據安全保護能力的成熟度證明，滿足安全合規(guī)要求。DSMM評估結果代表企業(yè)組織目前的數(shù)據安全防護水平，從L1至L5，級別越高代表的數(shù)據安全防護能力越強。

02DSMM評估的關鍵要素

DSMM評估受數(shù)據價值、合規(guī)要求、組織發(fā)展等多方面驅動，各方面都有數(shù)據安全工作關注要素。根據我們在政務、金融等多個領域的評估實踐來看，DSMM評估的關鍵要素主要由以下幾個方面構成：

? 要素一：能力建設目標

DSMM評估首先要確定建設目標，即數(shù)據安全能力成熟度級別。

DSMM定義了數(shù)據安全能力的5個級別。L1級為隨機、無序、被動地執(zhí)行全過程，完全依賴于個人經驗，無法復制；L2級為計劃跟蹤級別，適合多數(shù)企業(yè)數(shù)據安全能力建設的申請級別；L3級為充分定義級，要求足夠的數(shù)據安全團隊保障、完善的制度流程和專業(yè)的技術工具，因此在人力、物力、財力等方面投入要遠高于L2級，適合具有較高數(shù)據安全實踐水平的企業(yè)組織申請；L4級為量化控制級，適合在數(shù)據安全領域建設水平領先的企業(yè)組織申請；L5根據企業(yè)組織的整體目標，不斷改進和優(yōu)化組織能力和數(shù)據安全過程。

? 要素二：數(shù)據資產范圍

數(shù)據資產是為組織產生價值的數(shù)據資源，是指可以提升企業(yè)組織效益、提高管理水平或通過出售、租賃數(shù)據的方式獲得經濟收益。

核心業(yè)務數(shù)據、敏感數(shù)據、密鑰資產數(shù)據等重要數(shù)據應納入數(shù)據資產評估范圍。對于有些企業(yè)組織，業(yè)務系統(tǒng)未進行集成化管理，具備幾十甚至上百個系統(tǒng)，大大增加了DSMM評估企業(yè)的整改成本，在明確數(shù)據資產范圍過程中，可暫不納入輔助業(yè)務系統(tǒng)。評估人員有義務幫助企業(yè)組織平衡業(yè)務系統(tǒng)數(shù)據安全整改成本與數(shù)據資產收益。

? 要素三：數(shù)據安全風險

在DSMM評估工作過程中，評估人員應幫助企業(yè)組織對自身數(shù)據資產的業(yè)務系統(tǒng)在數(shù)據的采集、傳輸、存儲、處理、交換和銷毀過程，梳理數(shù)據安全風險點，并記錄所有風險點，全面掌握企業(yè)組織的數(shù)據安全能力現(xiàn)狀與建設目標的差距。

▲數(shù)據安全風險分布

為了更好地識別數(shù)據安全風險，有效有條不紊地通過數(shù)據安全能力成熟度，評估人員應熟練掌握GB∕T 37988-2019 《信息安全技術 數(shù)據安全能力成熟度模型》、GB∕T 35274-2017《信息安全技術 大數(shù)據服務安全能力要求》等技術框架，以及《中華人民共和國網絡安全法》、《中華人民共和國數(shù)據安全法》和《中華人民共和國個人信息保護法》等上位法，必要時應對企業(yè)組織所屬行業(yè)規(guī)范、合規(guī)要求進行了解。

? 要素四：數(shù)據安全意識

評估人員具備豐富的數(shù)據安全風險意識是DSMM評估工作的前提。評估人員需要幫助企業(yè)組織依據數(shù)據安全風險，根據數(shù)據流轉過程、企業(yè)組織運作方式，形成數(shù)據安全風險知識庫。依據知識庫，企業(yè)組織數(shù)據安全法律法規(guī)、數(shù)據泄漏案例等培訓，提高員工數(shù)據安全風險意識。

? 要素五：數(shù)據安全團隊

評估人員具備豐富的數(shù)據安全風險意識是DSMM評估工作的前提。評估人員需要幫助企業(yè)組織依據數(shù)據安全風險，根據數(shù)據流轉過程、企業(yè)組織運作方式，形成數(shù)據安全風險知識庫。依據知識庫，企業(yè)組織數(shù)據安全法律法規(guī)、數(shù)據泄漏案例等培訓，提高員工數(shù)據安全風險意識。

綜上所述，要素三至要素五在DSMM評估過程中存在很多主觀內容，因此評估人員的專業(yè)度、經驗積累和引導能力非常重要。