近年來，隨著信息技術(shù)和人類生產(chǎn)生活交匯融合，通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種數(shù)據(jù)迅猛增長(zhǎng)。海量數(shù)據(jù)聚集并成為重要的市場(chǎng)經(jīng)濟(jì)要素，對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)治理、人民生活都產(chǎn)生了重大而深刻的影響。2016年11月頒布的《網(wǎng)絡(luò)安全法》建立了網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)制度，2019年5月《數(shù)據(jù)安全管理辦法》草案公開征求意見，2020年7月《數(shù)據(jù)安全法》草案公開征求意見，由此可見，數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡(luò)安全乃至國(guó)家安全法制體系中的核心內(nèi)容之一。

01、DSMM標(biāo)準(zhǔn)介紹

《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019) (以下簡(jiǎn)稱“DSMM”)是由阿里巴巴聯(lián)合中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家信息安全工程技術(shù)研究中心、中國(guó)信息安全測(cè)評(píng)中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國(guó)家標(biāo)準(zhǔn)，于2019年8月30日發(fā)布，2020年3月1日正式實(shí)施。

DSMM國(guó)家標(biāo)準(zhǔn)以組織的數(shù)據(jù)為中心，圍繞數(shù)據(jù)的采集、傳輸存儲(chǔ)、處理、交換、銷毀全生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)能力維度，按照1-5級(jí)成熟度，評(píng)判組織的數(shù)據(jù)安全能力。

02、DCMM評(píng)估概述

評(píng)估依據(jù)

數(shù)據(jù)安全能力成熟度評(píng)估(以下簡(jiǎn)稱“DSMM評(píng)估”)是依據(jù)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)國(guó)家標(biāo)準(zhǔn)和《數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0》，對(duì)組織的數(shù)據(jù)安全開展能力評(píng)估。

評(píng)估內(nèi)容

DSMM評(píng)估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期，對(duì)組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評(píng)估，涵蓋5個(gè)成熟度級(jí)別、30個(gè)數(shù)據(jù)安全能力過程域和576個(gè)基本實(shí)踐。

1)維度一：安全能力(4個(gè)關(guān)鍵能力)

安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力，包括：組織建設(shè)、制度流程、技術(shù)工具和人員能力。

2)維度二：能力成熟度等級(jí)(5級(jí))

共分為5級(jí)，具體包括：1級(jí)是非正式執(zhí)行級(jí)，2級(jí)是計(jì)劃跟蹤級(jí)，3級(jí)是充分定義級(jí)，4級(jí)是量化控制級(jí)，5級(jí)是持續(xù)優(yōu)化級(jí)。

3)維度三：數(shù)據(jù)安全過程(6+1)

具體包括：數(shù)據(jù)生存周期安全過程(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全)和通用安全過程。

評(píng)估對(duì)象

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，包括但不限于數(shù)據(jù)運(yùn)營(yíng)組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

評(píng)估目標(biāo)

DSMM評(píng)估的目標(biāo)是幫助各企業(yè)和組織基于國(guó)家標(biāo)準(zhǔn)來評(píng)估其數(shù)據(jù)安全能力，幫助企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，提升企業(yè)組織的數(shù)據(jù)安全能力，促進(jìn)大數(shù)據(jù)在組織間的交換、共享與流轉(zhuǎn)，發(fā)揮大數(shù)據(jù)的價(jià)值。DSMM將數(shù)據(jù)安全能力劃分為五個(gè)等級(jí)，級(jí)別越高，代表該企業(yè)數(shù)據(jù)安全能力管理方面越優(yōu)秀;級(jí)別自低向高依次為:1級(jí)-非正式執(zhí)行、2級(jí)-計(jì)劃跟蹤、3級(jí)-充分定義、4級(jí)-量化控制、5級(jí)-持續(xù)優(yōu)化。

申請(qǐng)什么級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來判斷，沒有硬性規(guī)定初次申請(qǐng)級(jí)別的限制。大部分組織適合申請(qǐng)DSMM2級(jí)，DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng)，DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng)，DSMM5級(jí)暫不開放申請(qǐng)。

評(píng)價(jià)方法

DSMM的評(píng)價(jià)方法主要是評(píng)分制，先對(duì)每個(gè)過程域(PA)的四個(gè)能力維度(BP)進(jìn)行打分，再通過計(jì)算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

貫標(biāo)流程

Step1：差距分析——Step2：能力建設(shè)——Step3：測(cè)量評(píng)估。

評(píng)估流程

評(píng)估交付物

評(píng)估結(jié)果:DSMM標(biāo)準(zhǔn)重點(diǎn)關(guān)注企業(yè)業(yè)務(wù)數(shù)據(jù)，以衡量組織機(jī)構(gòu)安全能力，全面展示企業(yè)數(shù)據(jù)安全能力項(xiàng)成熟度評(píng)估等級(jí)。

評(píng)估報(bào)告:幫助企業(yè)展示數(shù)據(jù)安全能力現(xiàn)狀，識(shí)別數(shù)據(jù)安全能力相關(guān)問題,給出評(píng)估結(jié)論、詳細(xì)評(píng)估結(jié)果和階段性安全提升建議等，給出評(píng)估等級(jí)建議。

評(píng)估證書:通過專家評(píng)審后，同意給定對(duì)應(yīng)數(shù)據(jù)安全能力成熟度等級(jí)，并頒發(fā)DSMM證書。

03、需要哪些部門和角色參與？

申請(qǐng)DSMM涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門(業(yè)務(wù)主管、業(yè)務(wù)處理)、風(fēng)險(xiǎn)管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計(jì)部門等。

04、實(shí)施DSMM意義

DSMM標(biāo)準(zhǔn)可為組織在不同階段，開展數(shù)據(jù)保護(hù)建設(shè)，提供分級(jí)別的實(shí)踐指南。通過實(shí)施DSMM評(píng)估，可以：

1、促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作;

2、保障數(shù)據(jù)在組織機(jī)構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價(jià)值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。

05、證書模板

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202303/ccaa_48224.html