《信息安全技術 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)、簡稱DSMM(Data Security Maturity Model)于2019年正式成為國標并對外發(fā)布。

該標準旨在助力提升全社會、全行業(yè)的數(shù)據(jù)安全水位，其發(fā)布也填補了行業(yè)在數(shù)據(jù)安全能力成熟度評估標準方面的空白，為組織機構評估自身數(shù)據(jù)安全能力，提供了科學依據(jù)和參考。

此國標于2020年3月起正式實施，正式發(fā)布前，這項標準已在全國23個行業(yè)、40多家企業(yè)試點。

“數(shù)據(jù)安全是組織機構信息安全體系的重要環(huán)節(jié)，然而許多組織機構并不充分了解自身的數(shù)據(jù)安全能力，行業(yè)內缺乏一套評估組織機構數(shù)據(jù)安全能力的標準規(guī)范。”阿里巴巴集團數(shù)據(jù)安全總監(jiān)徐駿稱，DSMM能夠幫助各行業(yè)、組織機構基于統(tǒng)一標準來評估其數(shù)據(jù)安全能力，發(fā)現(xiàn)數(shù)據(jù)安全能力短板，查漏補缺，最終提升互聯(lián)網(wǎng)行業(yè)的整體安全管理水平和產(chǎn)業(yè)競爭力，促進數(shù)字經(jīng)濟發(fā)展。

阿里巴巴基于自身數(shù)據(jù)安全實踐，沉淀總結了數(shù)據(jù)安全能力成熟度模型，根據(jù)數(shù)據(jù)生命周期，從組織建設、制度流程、技術工具、人員能力四方面評估數(shù)據(jù)安全能力等級，助力提升行業(yè)整體數(shù)據(jù)安全水平。

該標準是基于阿里巴巴多年的數(shù)據(jù)安全實踐，形成行業(yè)共識后提煉總結。阿里巴巴標準化部總經(jīng)理朱紅儒介紹，DSMM也充分參考了國際上相關標準和經(jīng)驗，根據(jù)數(shù)據(jù)生命周期，從組織建設、制度流程、技術工具、人員能力四方面評估數(shù)據(jù)安全能力等級。

標準將數(shù)據(jù)安全能力分為“非正式執(zhí)行”、“計劃跟蹤”、“充分定義”、“量化控制”和“持續(xù)優(yōu)化”5個等級，第三等級是各個企業(yè)的基礎目標，等級越高，代表被測評的組織機構數(shù)據(jù)安全能力越強。

本標準基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機構業(yè)務場景中的數(shù)據(jù)生命周期，從組織建設、制度流程、技術工具以及人員能力四個方面構建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級模型及其評估方法。本標準適用于組織機構數(shù)據(jù)安全能力的自身評估，也適用于第三方機構對組織機構的數(shù)據(jù)安全保障能力進行評估。本標準借鑒能力成熟度模型(CMM)的思想，以CMM的通用實踐來衡量能力成熟度等級，以《要求》中的安全要求為基礎，定義數(shù)據(jù)安全過程域和基本實踐，指導組織機構如何持續(xù)達到所對應的安全要求。

本標準主要根據(jù)《信息安全技術 大數(shù)據(jù)服務安全能力要求》(以下簡稱為《要求》)中的數(shù)據(jù)安全要求對組織機構?供的數(shù)據(jù)安全能力?出評估的模型框架及方法論?！兑蟆分卸x了大數(shù)據(jù)服務?供者應具有的組織相關基礎安全能力和數(shù)據(jù)生命周期相關的數(shù)據(jù)服務安全能力，本標準針對《要求》中定義的每個安全要求定義基本實踐，并根據(jù)本標準定義的成熟度等級的通用實踐，對基本實踐進行等級評估。

本標準闡述了數(shù)據(jù)安全能力評估的成熟度模型及方法論，在過程域層面與《要求》完全一致，在基本實踐層面與《要求》進行映射，兩標準可以相互支撐調用?！兑蟆分卸x了大數(shù)據(jù)服務?供者?供大數(shù)據(jù)服務所需要滿足的基線要求，本標準定義了組織機構持續(xù)實現(xiàn)安全過程、滿足安全要求的能力等級的評估方法，來指導組織機構?升自身的數(shù)據(jù)安全能力水平。

數(shù)據(jù)安全能力成熟度模型（DS-CMM）的模型架構由以下三方面構成(如圖1所示)：

——數(shù)據(jù)生命周期安全：圍繞數(shù)據(jù)生命周期，?煉出大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對數(shù)據(jù)生命周期各階段建立的相關數(shù)據(jù)安全過程域體系。

——安全能力維度：明確組織機構在各數(shù)據(jù)安全領域所需要具備的能力維度，明確為組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。

——能力成熟度等級：基于統(tǒng)一的分級標準，細化組織機構在各數(shù)據(jù)安全過程域的五個級別的能力成熟度分級要求。

數(shù)據(jù)生命周期安全

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機構業(yè)務中的流轉情況，定義數(shù)據(jù)生命周期的6個階段，具體各階段的定義如下：

——數(shù)據(jù)采集：指在組織機構內部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。

——數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構內部從一個實體通過網(wǎng)絡流動到另一個實體的階段。

——數(shù)據(jù)存儲：指數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。

——數(shù)據(jù)處理：指組織機構在內部針對數(shù)據(jù)進行計算、分析、可視化等操作的階段。

——數(shù)據(jù)交換：指數(shù)據(jù)由組織機構與外部組織機構及個人交互的階段。

——數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的存儲介質通過相應的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復的過程。

組織機構的數(shù)據(jù)安全能力成熟度模型分為五個成熟度等級，一級是非正式執(zhí)行級，二級是計劃跟蹤級，三級是充分定義級，四級是量化控制級，五級是持續(xù)改進級。能力級別從一級至五級逐級?高，標志著組織機構的數(shù)據(jù)安全保障能力的成熟度不斷?升。每個級別規(guī)定了對應的公共特征和通用實踐。

安全能力維度

通過對各項安全過程所需具備安全能力的量化，可供組織機構評估每項安全過程的實現(xiàn)能力。安全能力從組織建設、制度流程、技術工具及人員能力四個維度展開。

——組織建設：數(shù)據(jù)安全組織機構的架構建立、職責分配和溝通協(xié)作。

——制度流程：組織機構關鍵數(shù)據(jù)安全領域的制度規(guī)范和流程落地建設。

——技術工具：通過技術手段和產(chǎn)品工具固化安全要求或自動化實現(xiàn)安全工作。

——人員能力：執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力。

目前DSMM的評估機構除了數(shù)據(jù)安全認證(貴州)有限公司以外，賽寶、中國信通院也都獲取了評估資格，并可在國家認監(jiān)委官網(wǎng)進行公示!

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202303/ccaa_48228.html