在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素，數(shù)據(jù)安全也成為關(guān)乎企業(yè)生存發(fā)展的重要議題。加強(qiáng)數(shù)據(jù)安全管理，提升數(shù)據(jù)安全能力，成為企業(yè)面臨的共同挑戰(zhàn)。數(shù)據(jù)安全能力成熟度模型(DSMM)應(yīng)運(yùn)而生，為企業(yè)數(shù)據(jù)安全建設(shè)提供了科學(xué)指引和評(píng)估依據(jù)。

一、DSMM數(shù)據(jù)安全能力成熟度模型概述

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡(jiǎn)稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測(cè)評(píng)中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn)，于2019年8月30日發(fā)布，2020年3月1日正式實(shí)施。

DSMM借鑒了國際上成熟度模型的理論和實(shí)踐，結(jié)合我國數(shù)據(jù)安全現(xiàn)狀和需求，構(gòu)建了一套科學(xué)、系統(tǒng)、可操作的數(shù)據(jù)安全能力評(píng)估體系。

DSMM將組織的數(shù)據(jù)安全能力劃分為5個(gè)等級(jí)，1級(jí)低，5級(jí)高，目前5級(jí)還沒開放，一般企業(yè)初次申請(qǐng)是從2級(jí)開始，如果企業(yè)條件不錯(cuò)，比如已經(jīng)通過ISO/IED27001也可以申請(qǐng)3級(jí)。有效期3年，每年監(jiān)督審核。

DSMM認(rèn)證以數(shù)據(jù)為核心，圍繞數(shù)據(jù)的全生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力等多個(gè)維度，全面評(píng)估企業(yè)的數(shù)據(jù)安全能力，并幫助企業(yè)識(shí)別數(shù)據(jù)安全短板，制定針對(duì)性的改進(jìn)計(jì)劃。幫助企業(yè)識(shí)別數(shù)據(jù)安全短板，明確改進(jìn)方向，持續(xù)提升數(shù)據(jù)安全防護(hù)水平。

圖片來源：GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型

二、DSMM誰能做？——誰需要這把數(shù)據(jù)安全的“金鑰匙”？

DSMM適用于所有涉及數(shù)據(jù)處理活動(dòng)的組織，包括但不限于：

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，申請(qǐng)條件如下：

這些條件確保了申請(qǐng)組織在數(shù)據(jù)安全方面具有一定的基本能力和管理體系，滿足上述條件，即可申請(qǐng)DSMM認(rèn)證。

看到這些條件，可能還有疑問不知道做哪個(gè)級(jí)別?簡(jiǎn)單點(diǎn)說，2級(jí)沒什么要求，基本都能申請(qǐng)。3級(jí)企業(yè)有80個(gè)左右的社保人員，也可以申請(qǐng)3級(jí)。

三、DSMM怎么做？——從評(píng)估到認(rèn)證，步步為營(yíng)構(gòu)建數(shù)據(jù)安全防線

DSMM評(píng)估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期，對(duì)組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評(píng)估，涵蓋5個(gè)成熟度級(jí)別、30個(gè)數(shù)據(jù)安全能力過程域和576個(gè)基本實(shí)踐（BP)。

DSMM評(píng)估認(rèn)證流程通常分為三個(gè)階段，分為前期咨詢，內(nèi)部評(píng)估，現(xiàn)場(chǎng)評(píng)估認(rèn)證。

(1) 前期咨詢：明確目標(biāo)，制定方案

需求調(diào)研：評(píng)估機(jī)構(gòu)深入了解企業(yè)業(yè)務(wù)特點(diǎn)、數(shù)據(jù)安全現(xiàn)狀和評(píng)估目標(biāo)。

方案制定：根據(jù)調(diào)研結(jié)果，制定個(gè)性化的DSMM評(píng)估認(rèn)證方案，明確評(píng)估范圍、時(shí)間計(jì)劃、資源配置等。

標(biāo)準(zhǔn)宣貫：對(duì)企業(yè)相關(guān)人員進(jìn)行DSMM標(biāo)準(zhǔn)培訓(xùn)，提升對(duì)標(biāo)準(zhǔn)的理解和應(yīng)用能力。

(2) 內(nèi)部評(píng)估：自查自糾，夯實(shí)基礎(chǔ)

差距分析：企業(yè)根據(jù)DSMM標(biāo)準(zhǔn)進(jìn)行自評(píng)估，識(shí)別數(shù)據(jù)安全管理現(xiàn)狀與目標(biāo)等級(jí)的差距。

能力建設(shè)：針對(duì)差距分析結(jié)果，制定并實(shí)施整改計(jì)劃，完善數(shù)據(jù)安全管理體系，提升數(shù)據(jù)安全能力。

文檔準(zhǔn)備：整理完善數(shù)據(jù)安全管理制度、流程、記錄等文檔，為正式評(píng)估做好準(zhǔn)備。

(3) 評(píng)估認(rèn)證：專家把脈，權(quán)威認(rèn)證

現(xiàn)場(chǎng)評(píng)估：評(píng)估機(jī)構(gòu)專家團(tuán)隊(duì)進(jìn)駐企業(yè)，通過訪談、查閱文檔、系統(tǒng)測(cè)試等方式進(jìn)行現(xiàn)場(chǎng)評(píng)估。

評(píng)估報(bào)告：根據(jù)現(xiàn)場(chǎng)評(píng)估結(jié)果，形成評(píng)估報(bào)告，明確企業(yè)數(shù)據(jù)安全能力等級(jí)和改進(jìn)建議。

認(rèn)證決定：評(píng)估機(jī)構(gòu)根據(jù)評(píng)估報(bào)告做出認(rèn)證決定，并頒發(fā)DSMM認(rèn)證證書。

現(xiàn)場(chǎng)DSMM評(píng)估方式和ISO其他管理體系類似，主要包括人員訪談、文檔審 核、配置檢查、工具測(cè)試、旁站式驗(yàn)證等方式，具體情況如下：

（1）文檔審核：由被評(píng)價(jià)組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄 和其他配套表單)、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)。

（2）配置檢查：根據(jù)被審核方提供的技術(shù)材料，登陸相關(guān)的系統(tǒng)工具 平臺(tái)，檢査配置是否與材料保持一致，對(duì)文檔審核內(nèi)容進(jìn)行核實(shí)。

（3）工具測(cè)試：利用技術(shù)工具對(duì)系統(tǒng)工具進(jìn)行測(cè)試，驗(yàn)證是 否符合數(shù)據(jù)安全成熟度模型特定等級(jí)的技術(shù) 能力要求，也可采信第三方的測(cè)試報(bào)告。

（4）旁站式驗(yàn)證：審核人員在現(xiàn)場(chǎng)通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況。

（5）人員訪談：通過訪談的方式與被審核方進(jìn)行交流、討論 等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。

四、DSMM和DCMM的區(qū)別？

數(shù)據(jù)管理能力成熟度（DCMM）

DCMM是國家標(biāo)準(zhǔn)《數(shù)據(jù)管理能力成熟度評(píng)估模型GB/T36073-2018》(Data management Capability Maturity Model)的英文簡(jiǎn)稱，DCMM是我國在數(shù)據(jù)管理領(lǐng)域首個(gè)正式發(fā)布的國家標(biāo)準(zhǔn)，旨在幫助企業(yè)利用先進(jìn)的數(shù)據(jù)管理理念和方法，建立和評(píng)價(jià)自身數(shù)據(jù)管理能力，持續(xù)完善數(shù)據(jù)管理組織、程序和制度，充分發(fā)揮數(shù)據(jù)在促進(jìn)企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價(jià)值。

DCMM適用于數(shù)據(jù)擁有方：如金融與保險(xiǎn)機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)、電信運(yùn)營(yíng)商、工業(yè)企業(yè)、數(shù)據(jù)中心所屬主體、高校、政務(wù)數(shù)據(jù)中心等

數(shù)據(jù)安全能力成熟度(DSMM)

DSMM標(biāo)準(zhǔn)能夠用來衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競(jìng)爭(zhēng)力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，包括但不限于數(shù)據(jù)運(yùn)營(yíng)組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://m.1cjaei.cn/zs/202511/ccaa_74330.html