筆者所在公司有幸作為首批十家試點單位之一，受邀參加國家標準《DSMM 數(shù)據(jù)安全能力成熟度模型》（報批稿）（以下簡稱 DSMM）的試點自評估項目，并作為試點企業(yè)代表參加了信安標委召開的試點工作總結(jié)會；下面分享下我們對 DSMM 標準的一些理解和試點體會。

一、什么是 DSMM

DSMM 標準以數(shù)據(jù)為中心，重點圍繞數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個方面進行安全保障。

DSMM 標準關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機構(gòu)的數(shù)據(jù)安全能力，促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

DSMM 標準原文數(shù)據(jù)安全能力成熟度模型架構(gòu)如圖 1 如示：

圖 1：數(shù)據(jù)安全能力成熟度模型架構(gòu)圖

PS:本文對 DSMM 標準的介紹如無特別說明，均依據(jù) 2018.11.09 報批稿版本。

如圖 1 所示，DSMM 標準包括：

4 大安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力);

7 大數(shù)據(jù)安全過程維度(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全);

5級(從低到高依次 1-5 級)，DSMM 標準對不同等級進行了定義和描述，3 級標準共計 282 個評估項。

7大過程維度又可細分為共 30 個過程域，7 大過程維度與 30 個過程域?qū)?yīng)關(guān)系如圖 2 所示：

圖 2：數(shù)據(jù)安全過程域體系(點擊查看大圖)

如圖 2 所示，每個過程域均劃分為 5 級，每級從 4 個安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力)提出具體的能力要求;

并非每級均包含完整的 4 個維度的能力要求，如圖 2 所示，在 6.1 PA01 PA01 數(shù)據(jù)分類分級這一過程域中，僅 3 級要求包含完整的 4 個維度的要求;

對于每個數(shù)據(jù)安全過程域，高等級的能力要求包括所有低等級能力要求，針對某一具體數(shù)據(jù)安全過程域，如果 5 級的能力要求中未涉及某一關(guān)鍵能力的內(nèi)容，則默認需達成在 4 級的能力要求中的該關(guān)鍵能力的內(nèi)容，依此內(nèi)推。

DSMM 標準和 ISO27000 標準、等保標準有何相同，又有何不同?

等保標準以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)基礎(chǔ)安全管理，側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的安全保護。

ISO27000 側(cè)重于信息安全管理體系的建設(shè)，作為體系化的指導文件幫助企業(yè)建立、實施和文件化信息安全管理體系(ISMS)的要求。

DSMM 強調(diào)數(shù)據(jù)保護，以數(shù)據(jù)為中心，在數(shù)據(jù)備份、數(shù)據(jù)銷毀等方面與等保和 ISO27000 有重合，但是 DSMM 關(guān)注的數(shù)據(jù)采集、溯源、分析等視角，等保和 ISO27000 均未涉及，DSMM 對制度流程的要求均建立在具體的數(shù)據(jù)保護過程之上，DSMM 還強調(diào)對人員能力的評估。

DSMM 標準與等保一樣有分級的概念，但關(guān)注的是數(shù)據(jù)整個生命周期的安全控制，與業(yè)務(wù)貼合更緊密。

DSMM 可以給企業(yè)帶來什么好處

DSMM 標準可為組織機構(gòu)在不同階段，開展數(shù)據(jù)保護建設(shè)，提供分級別的基本實踐。

二、如何開展 DSMM 評估

DSMM 評估的是整個組織機構(gòu)的數(shù)據(jù)成熟能力，不局限于某一系統(tǒng)，如果公司業(yè)務(wù)復雜，數(shù)據(jù)規(guī)模較大，建議按照業(yè)務(wù)部門進行拆分，逐個擊破。我們在 DSMM 標準評估過程中評估流程如下。

在具體實踐中，我們按照不同的業(yè)務(wù)部門，分別進行評估。首先敲定各業(yè)務(wù)部門的負責人，由該負責人輔助評估過程中的資源協(xié)調(diào)工作。然后我們與各部門負責人一起梳理基本業(yè)務(wù)流程，結(jié)合 DSMM 的過程域，按照線上生產(chǎn)數(shù)據(jù)和線下離線數(shù)據(jù)兩條線，確定各過程域的訪談部門和訪談人員，隨著評估工作的開展，具體訪談人員會持續(xù)增加。

DSMM 實際訪談對象主要為開發(fā)和 IT 人員，包括開發(fā)、DBA、桌面等公共團隊，也涉及到對產(chǎn)品、運營、HR、業(yè)務(wù)等崗位人員的訪談評估。

因為評估項較多，評估人員需仔細研讀 DSMM 的評估項，提前對評估項進行總結(jié)歸納，信安標委后續(xù)提供的在線自評估工具也可作為評估輔助工具。

為了工作更高效開展，在開展 DSMM 評估之前，我們編制了 DSMM 評估工具檢查表，如圖 3 所示：

圖 3：DSMM Assessment Tool 截圖(點擊查看大圖)

三、DSMM 評估過程中可能遇到的問題

DSMM 評估結(jié)果，與評估人員對標準的理解有很大關(guān)系，如何更好的理解 DSMM 的要求并很好的傳達給被評估人員?

建議：評估人員對標準進行歸納提煉，參考 DSMM 評估指南進行理解消化，與被評估人員進行交流時進行發(fā)散引導，不宜直接照本宣讀 DSMM 的評估項。

DSMM 評估結(jié)果，受限于評估覆蓋的范圍和深度，以及被評估人員的配合情況

建議：評估人員應(yīng)提前做好相關(guān)準備，提前了解業(yè)務(wù)基本情況和基本工具，做到心中有數(shù)，訪談范圍盡量全面;選擇被訪談對象時盡量選擇熟悉業(yè)務(wù)場景的資深人員，對訪談?wù)叻答伒那闆r需進行基本驗證，如現(xiàn)場查看、文檔查閱等。

總體來說，DSMM 標準為企業(yè)的數(shù)據(jù)生命周期的安全提供了比較好的實踐要求，但是目前 DSMM 標準報批稿也存在著一些小問題，如部分評估項晦澀難懂或者冗長或者描述不清晰，企業(yè)的數(shù)據(jù)成熟能力需要達到什么級別，該級別對企業(yè)又意味著什么，目前的評估指南與 DSMM 評估標準也存在差距。相信在信安標委正式發(fā)布該標準時，以上問題會得到有效解決，會有更清晰詳細的評估指南和工具指導企業(yè)進行落地評估。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202303/ccaa_48232.html