DSMM數(shù)據(jù)安全能力成熟度評估

     隨著信息技術(shù)的發(fā)展，人類社會已經(jīng)進(jìn)入數(shù)字時代，數(shù)據(jù)的指數(shù)級增長已經(jīng)成為常態(tài)。數(shù)據(jù)具有極大的價值變現(xiàn)特點，世界各國都強(qiáng)烈意識到數(shù)據(jù)的重要性。然而，數(shù)據(jù)的價值變現(xiàn)、有效利用的前提是數(shù)據(jù)是安全的，所以，數(shù)據(jù)安全的保護(hù)能力，是數(shù)據(jù)有效利用的基礎(chǔ)。我國也從國家層面，制定了相關(guān)法律法規(guī)，明確要求要合規(guī)、合法、有效的做好數(shù)據(jù)安全的保護(hù)。

    DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機(jī)構(gòu)的數(shù)據(jù)安全能力，促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

    DSMM的架構(gòu)由四個安全能力維度、七個安全過程維度、五個安全能力等級構(gòu)成。

1.四個安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力；

2.七個安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計30個過程域；

3.五個安全能力等級：從低到高依次1至5級。

DSMM每個級別有什么區(qū)別

DSMM等級劃分與核心特點如下：
L1非正式執(zhí)行：執(zhí)行非正式過程，隨機(jī)、無序、被動執(zhí)行安全過程，依賴個人經(jīng)驗，無法復(fù)制。

L2計劃跟蹤：在業(yè)務(wù)系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進(jìn)展。

L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過程進(jìn)行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。

L4量化控制：建立了量化目標(biāo)，安全過程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請，DSMM5級暫不開放申請。當(dāng)企業(yè)不確定能報幾級時，可以聯(lián)系佳普做分析預(yù)評估，0571-85131053。

DSMM貫標(biāo)流程

Step1：差距分析——Step2：能力建設(shè)——Step3：測量評估。

企業(yè)如何開展貫標(biāo)準(zhǔn)備工作？

準(zhǔn)備工作分為三個階段：

（1）差距分析：對照能力等級標(biāo)準(zhǔn)的相關(guān)要求，梳理本企業(yè)數(shù)據(jù)管理的相關(guān)制度、執(zhí)行過程文檔、數(shù)據(jù)管理平臺和工具的相關(guān)資料，進(jìn)行差距分析，制定建設(shè)提升工作計劃。

（2）能力建設(shè)：健全數(shù)據(jù)管理組織，完善數(shù)據(jù)管理制度體系，優(yōu)化數(shù)據(jù)管理平臺和工具，開展對標(biāo)自評估。

（3）量化評估：組建評估隊伍，提交正式評估申請，開展第三方評估，獲取評估結(jié)果和提升整改意見。

DSMM的評價方法主要是評分制，先對每個過程域（PA）的四個能力維度（BP）進(jìn)行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

DSMM是針對企業(yè)數(shù)據(jù)安全管理和應(yīng)用能力的評估框架，從標(biāo)準(zhǔn)本身講，任何企業(yè)都可以申請，目前主要適用于兩類。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險業(yè)、證券行業(yè)、保險業(yè)、電子商務(wù)平臺、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開發(fā)/運營商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

可通過國家市場監(jiān)督管理總局全國認(rèn)證認(rèn)可信息公共服務(wù)平臺（http://cx.cnca.cn/CertECloud/index/index/page）查詢證書詳情，并核查驗證證書的有效性。

企業(yè)獲取DSMM證書后如何維持證書的有效性

證書有效期為三年，根據(jù)現(xiàn)行評估規(guī)則不需要每年監(jiān)督。證書到期前至少提前三個月申請再認(rèn)證評估。

1.等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全，側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)。

2.ISO27001標(biāo)準(zhǔn)是以組織為對象，偏向信息安全管理，側(cè)重于指導(dǎo)組織依據(jù)信息安全風(fēng)險評估的結(jié)果選擇合適的控制措施，設(shè)計構(gòu)建信息安全管理體系。

3.DSMM標(biāo)準(zhǔn)也是以組織為評估對象，聚焦數(shù)據(jù)全生命周期的防護(hù)，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)。

對通過國家《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019，DSMM）、《數(shù)據(jù)管理能力成熟度評估模型》（GB/T 36073—2018，DCMM）認(rèn)證的企業(yè)，最高可領(lǐng)取50萬元的補(bǔ)貼。