DSMM認證，也稱為數(shù)據(jù)管理能力成熟度評估，也有地方稱為《數(shù)據(jù)安全能力成熟度模型》(GB/T 37988—2019.DSMM)認證。

近年來，隨著信息技術和人類生產生活交匯融合，通過網(wǎng)絡收集、存儲、傳輸、處理和產生的各種數(shù)據(jù)迅猛增長。很多企業(yè)對于DSMM的需求還是很大的，但DSMM還是有很多專業(yè)性的問題，為了便于大家可以快速了解DSMM，同邦信息科技的小編就給大家將常見的問題做了匯總，一起來看看吧!

01、DSMM是什么？

DSMM 標準以數(shù)據(jù)為中心，重點圍繞數(shù)據(jù)生命周期，從組織建設、制度流程、技術工具和人員能力四個方面進行安全保障。

DSMM 標準關注企業(yè)自身業(yè)務產生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機構的數(shù)據(jù)安全能力，促進組織機構了解并提升自身的數(shù)據(jù)安全水平。

本標準適用于組織機構數(shù)據(jù)安全能力的自身評估，也適用于第三方機構對組織機構的數(shù)據(jù)安全保障能力進行評估。

本標準借鑒能力成熟度模型(CMM)的思想，以CMM的通用實踐來衡量能力成熟度等級，以《要求》中的安全要求為基礎，定義數(shù)據(jù)安全過程域和基本實踐，指導組織機構如何持續(xù)達到所對應的安全要求。

02、DSMM的基礎申報條件

具有獨立企業(yè)法人地位，屬于數(shù)據(jù)擁有方或數(shù)據(jù)方案提供方;

社會信譽良好，有良好的知識產權保護意識，近三年無觸犯國家法律法規(guī)的行為，無經(jīng)營異?；驀乐剡`法失信行為，無不正當競爭行為;

滿足《GB_T 37988-2019 信息安全技術　數(shù)據(jù)安全能力成熟度模型》相應級別要求;

有5人左右參與相關數(shù)據(jù)安全管理工作的人員。

03、DSMM的等級劃分有哪些？

DSMM將數(shù)據(jù)管理能力成熟度劃分為五個等級，自低向高依次為1級:非正式執(zhí)行、2級：計劃跟蹤、3級：充分定義、4級：量化控制、5級：持續(xù)優(yōu)化，不同等級代表企業(yè)數(shù)據(jù)安全管理和應用的成熟度水平不同。

數(shù)據(jù)安全過程維度——數(shù)據(jù)生命周期全過程，包括數(shù)據(jù) 采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、 數(shù)據(jù)銷毀安全，以及通用安全過程。

三維度相互交叉，形成具體的基本實踐(BP)，全部的基 本實踐構成DSMM的條款內容;基于組織企業(yè)對各基本實踐的滿足程度，最終確定企業(yè)所達到的成熟度等級。

DSMM每個級別有什么區(qū)別？

L1非正式執(zhí)行：執(zhí)行非正式過程，隨機、無序、被動執(zhí)行安全過程，依賴個人經(jīng)驗，無法復制。

L2計劃跟蹤：在業(yè)務系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進展。

L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標準過程進行制度化，過程可重復執(zhí)行，執(zhí)行結果可核查。

L4量化控制：建立了量化目標，安全過程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標，不斷改進和優(yōu)化組織能力和安全過程有效性。

04、DSMM與ISO27001和等保有何不同？

等保標準以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)網(wǎng)絡系統(tǒng)安全，側重于物理安全、網(wǎng)絡安全、安全建設管理等方面的網(wǎng)絡系統(tǒng)安全保護。

ISO27001標準是以組織為對象，偏向信息安全管理，側重于指導組織依據(jù)信息安全風險評估的結果選擇合適的控制措施，設計構建信息安全管理體系。

DSMM標準也是以組織為評估對象，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務貼合緊密的數(shù)據(jù)安全架構。

05、DSMM的架構

DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。四個安全能力維度:組織建設、制度流程、技術工具、人員能力;

七個安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計30個過程域;

五個安全能力等級：從低到高依次1至5級。

06、DSMM適合哪些評估對象？

DSMM是針對企業(yè)數(shù)據(jù)安全管理和應用能力的評估框架，從標準本身講，任何企業(yè)都可以申請，目前主要適用于兩類。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術產業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險業(yè)、證券行業(yè)、保險業(yè)、電子商務平臺、數(shù)據(jù)中心、政務和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開發(fā)/運營商、信息系統(tǒng)建設和服務提供商、信息技術服務提供商等。

07、做DSMM對企業(yè)的價值

資產保護：企業(yè)通過數(shù)據(jù)安全認證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及 管理措施，提高企業(yè)數(shù)據(jù)安全保護意識，保障企業(yè)數(shù)據(jù)資產安全。

風險防控：數(shù)據(jù)安全能力體系的建設的不僅擁有應對數(shù)據(jù)風險的發(fā)生時的防護能力，更能從源頭對風險進行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

合規(guī)要求:《數(shù)據(jù)安全法》《個人信息保護法》等相關 法律法規(guī)相繼出臺，對企業(yè)數(shù)據(jù)安全建設提出了要求，數(shù)據(jù)安全認證可幫助企業(yè)滿足相關法律法規(guī)要求，落實責任義務。

政策扶持：隨著相關法律法規(guī)完善，各地區(qū)政府鼓勵當?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供 政策扶持。

宣傳推廣：組織通過數(shù)據(jù)安全認證，結合數(shù)據(jù)安全體系建設的經(jīng)驗，可形成行業(yè)最佳實踐，擴大行業(yè)知名度，帶動行業(yè)發(fā)展。

核心競爭力：通過數(shù)據(jù)安全認證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務提供方，提升自身核心競爭力，為企業(yè)客戶提供安全的數(shù)據(jù)服務。

08、DSMM評估流程

DSMM評估流程分為審核簽活動，第一階段、第二階段和認證決定四個階段

09、DSMM評估方式有哪些？

DSMM評估方式主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗證等方式，具體情況如下：

（1）文檔審核：由被評價組織輸入與數(shù)據(jù)安全相關的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓教育材料、以及 與產品技術相關的設計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項。

（2）配置檢查：根據(jù)被審核方提供的技術材料，登陸相關的系統(tǒng)工具 平臺，檢査配置是否與材料保持一致，對文檔審核內容進行核實。

（3）工具測試：利用技術工具對系統(tǒng)工具進行測試，驗證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術 能力要求，也可采信第三方的測試報告。

（4）旁站式驗證：審核人員在現(xiàn)場通過實地觀察人員行為、技術設施和環(huán)境狀況判斷人員的安全 意識、業(yè)務操作、管理程序等方面的安全情況。

（5）人員訪談：通過訪談的方式與被審核方進行交流、討論 等活動，獲取相關證據(jù)，了解有關信息。

10、企業(yè)如何開展貫標準備工作？

準備工作分為三個階段：

（1）差距分析：對照能力等級標準的相關要求，梳理本企業(yè)數(shù)據(jù)管理的相關制度、執(zhí)行過程文檔、數(shù)據(jù)管理平臺和工具的相關資料，進行差距分析，制定建設提升工作計劃。

（2）能力建設：健全數(shù)據(jù)管理組織，完善數(shù)據(jù)管理制度體系，優(yōu)化數(shù)據(jù)管理平臺和工具，開展對標自評估。

（3）量化評估：組建評估隊伍，提交正式評估申請，開展第三方評估，獲取評估結果和提升整改意見。

11、企業(yè)如何初步判斷評估等級？

企業(yè)可以直接申請所需要的等級，一般建議申請2級或3級。

12、DSMM部分地區(qū)政策補貼詳情

天津市DSMM補貼

對首次通過國家《數(shù)據(jù)安全能力成熟度模型》(GB/T 37988—2019.DSMM)、《數(shù)據(jù)管理能力成熟度評估模型》(GB/T 36073—2018.DCMM)認證的企業(yè)，分別給予最高50萬元支持。(責任單位：市委網(wǎng)信辦、市工業(yè)和信息化局、市財政局、各區(qū)人民政府)

貴陽市DSMM補貼

支持企業(yè)提升管理能力。對首次通過軟件能力成熟度模型集成(CMMI)3級及以上、數(shù)據(jù)管理能力成熟度評估模型(DCMM)2級及以上、數(shù)據(jù)安全能力成熟度模型(DSMM)2級及以上認證，且證書在有效期內的企業(yè)，CMMI認證按3級、4級、5級分別給予一次性10萬元、20萬元、30萬元資金支持;DCMM認證按2級、3級、4級及以上分別給予一次性10萬元、20萬元、30萬元資金支持;DSMM2級及以上認證給予一次性30萬元資金支持。

清鎮(zhèn)市DSMM補貼

對首次通過軟件能力成熟度評估模型集成(CMMI)3 級及以上、數(shù)據(jù)管理能力成熟度評估模型(DCMM)2 級及以上、數(shù)據(jù)安全能力成熟度模型(DSMM)2 級及以上認證，且證書在有效期的企業(yè)，CMMI 認證按 3 級、4 級、5 級分別給予一次性 5 萬元、10 萬元、15 萬元資金支持;DCMM 認證按 2 級、3級、4 級及以上分別給予一次性 5 萬元、10 萬元、15 萬元資金支持;DSMM2 級以上認證給予一次性 15 萬元資金支持。

廣州同邦信息科技股份有限公司是一家致力于信息技術領域提供解決方案的IT技術和咨詢服務提供商，專業(yè)從事企業(yè)資質認證，目前累計服務客戶1000+，累計發(fā)出證書2000+，覆蓋行業(yè)20+，目前公司擁有一支導師式、顧問型的創(chuàng)新服務專家團隊，以提升客戶價值為目標，幫助企業(yè)通過資質認證!

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202402/ccaa_60306.html