dsmm數(shù)據(jù)安全能力成熟度模型

DCMM（數(shù)據(jù)管理能力成熟度評估模型）

DCMM即《數(shù)據(jù)管理能力成熟度評估模型》，是我國在數(shù)據(jù)管理領域首個正式發(fā)布的國家標準。DCMM標準以組織為評估對象，DCMM數(shù)據(jù)管理能力成熟度評估模型定義了數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構、數(shù)據(jù)應用、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)標準和數(shù)據(jù)生存周期八個核心能力域及28個能力項，并以組織、制度、流程和技術作為八個核心域評價維度。幫助企業(yè)利用先進的數(shù)據(jù)管理理念和方法，建立和評價自身數(shù)據(jù)管理能力，持續(xù)完善數(shù)據(jù)管理組織、程序和制度，充分發(fā)揮數(shù)據(jù)在促進企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價值。

DSMM（數(shù)據(jù)安全能力成熟度模型）

DSMM是Data Security capability MaturityModel的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實施的GB/T 37988-2019 《信息安全技術數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護體系。DSMM標準是以組織為評估對象，用來衡量一個組織的數(shù)據(jù)安全能力成熟度水平，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務貼合緊密的數(shù)據(jù)安全架構，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會的數(shù)據(jù)安全水平和行業(yè)競爭力， 確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟的發(fā)展。

一、DSMM（數(shù)據(jù)安全能力成熟度模型）建設依據(jù)

本標準給出了組織數(shù)據(jù)安全能力的成熟度模型架構，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。

本標準適用于對組織數(shù)據(jù)安全能力進行評估，也可作為組織開展數(shù)據(jù)安全能力建設時的依據(jù)。

二、DSMM數(shù)據(jù)安全能力成熟度模型架構

1、五個等級包括：

-L1非正式執(zhí)行：執(zhí)行非正式過程，隨機、無序、被動執(zhí)行安全過程，依賴個人經(jīng)驗，無法復制。

-L2計劃跟蹤：在業(yè)務系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進展。

-L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標準過程進行制度化，過程可重復執(zhí)行，執(zhí)行結(jié)果可核查。

-L4量化控制：建立了量化目標，安全過程可度量。

-L5持續(xù)優(yōu)化：根據(jù)組織的整體目標，不斷改進和優(yōu)化組織能力和安全過程有效性。

2、四大安全能力維度包括：

-組織建設：指數(shù)據(jù)安全組織的架構建立、職責分配和溝通協(xié)作。組織可分為決策層、管理層和執(zhí)行 層等三層結(jié)構。其中，決策層由參與業(yè)務發(fā)展決策的高管和數(shù)據(jù)安全官組成，制定數(shù)據(jù)安全的目標和愿景，在業(yè)務發(fā)展和數(shù)據(jù)安全之間做出良好的平衡;管理層是數(shù)據(jù)安全核心實體部門及業(yè)務部門管理層組成，負責制定數(shù)據(jù)安全策略和規(guī)劃，及具體管理規(guī)范;執(zhí)行層由數(shù)據(jù)安全相關運營、技術和各業(yè)務部門接口人組成，負責保證數(shù)據(jù)安全工作推進落地。

-制度流程：指數(shù)據(jù)安全具體管理制度體系的建設和執(zhí)行，包括數(shù)據(jù)安全方針和總綱、數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南和作業(yè)指導，以及相關模板和表單等。

-技術工具：指與制度流程相配套并保證有效執(zhí)行的技術和工具，可以是獨立的系統(tǒng)平臺、工具、功能或算法技術等。需要綜合所有安全域進行整體規(guī)劃和實現(xiàn)，且要和組織的業(yè)務系統(tǒng)和信息系統(tǒng)等進行銜接。包括適用于所有安全域的通用技術工具，和部分階段或安全域試用的技術工具。

-人員能力：指為實現(xiàn)以上組織、制度和技術工具的建設和執(zhí)行其人員應具備的能力。核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運營能力、數(shù)據(jù)安全技術能力及數(shù)據(jù)安全合規(guī)能力。根據(jù)不同數(shù)據(jù)安全能力 建設維度匹配不同人員能力要求。

3、七大數(shù)據(jù)安全過程維度包括：

數(shù)據(jù)安全過程維度則從兩個層面考量：

1)數(shù)據(jù)安全過程包括數(shù)據(jù)生存周期安全過程和通用安全過程;

2)數(shù)據(jù)生存周期安全過程具體包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個階段。

-數(shù)據(jù)采集：指在組織機構內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。

-數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構內(nèi)部從一個實體通過網(wǎng)絡流動到另一個實體的階段。

-數(shù)據(jù)存儲：指數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。

-數(shù)據(jù)處理：指組織機構在內(nèi)部針對數(shù)據(jù)進行計算、分析、可視化等操作的階段。

-數(shù)據(jù)交換：指數(shù)據(jù)由組織機構與外部組織機構及個人交互的階段。

-數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的存儲介質(zhì)通過相應的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復的過程。

三、DSMM初次申請

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領域建設水平領先的組織申請，DSMM5級暫不開放申請。

四、DSMM貫標流程

Step1：差距分析 Step2：能力建設 Step3：測量評估

五、DSMM評價方法

DSMM的評價方法主要是評分制，先對每個過程域(PA)的四個能力維度(BP)進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

六、DSMM評估方式有哪些？

DSMM評估方式主要包括人員訪談、文檔審核、配置檢查、工具測試、旁站式驗證等方式，具體情況如下：

（1）文檔審核：由被評價組織輸入與數(shù)據(jù)安全相關的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓教育材料、以及 與產(chǎn)品技術相關的設計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項。

（2）配置檢查：根據(jù)被審核方提供的技術材料，登陸相關的系統(tǒng)工具 平臺，檢査配置是否與材料保持一致，對文檔審核內(nèi)容進行核實。

（3）工具測試：利用技術工具對系統(tǒng)工具進行測試，驗證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術 能力要求，也可采信第三方的測試報告。

（4）旁站式驗證：審核人員在現(xiàn)場通過實地觀察人員行為、技術設施和環(huán)境狀況判斷人員的安全 意識、業(yè)務操作、管理程序等方面的安全情況。

（5）人員訪談：通過訪談的方式與被審核方進行交流、討論 等活動，獲取相關證據(jù)，了解有關信息。

七、哪些企業(yè)適合申請

DSMM標準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關注自身數(shù)據(jù)安全能力建設情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務提供組織等。

八、企業(yè)需要哪些部門和角色的參與

涉及到的相關部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務條線部門(業(yè)務主管、業(yè)務處理)、風險管理部門、法務部門、人力資源部門、內(nèi)控合規(guī)部門、審計部門等。

九、實施DSMM的意義

資產(chǎn)保護：企業(yè)通過數(shù)據(jù)安全認證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及 管理措施，提高企業(yè)數(shù)據(jù)安全保護意識，保障企業(yè)數(shù)據(jù)資產(chǎn)安全。

風險防控：數(shù)據(jù)安全能力體系的建設的不僅擁有應對數(shù)據(jù)風險的發(fā)生時的防護能力，更能從源頭對風險進行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

合規(guī)要求:《數(shù)據(jù)安全法》《個人信息保護法》等相關 法律法規(guī)相繼出臺，對企業(yè)數(shù)據(jù)安全建設提出了要求，數(shù)據(jù)安全認證可幫助企業(yè)滿足相關法律法規(guī)要求，落實責任義務。

政策扶持：隨著相關法律法規(guī)完善，各地區(qū)政府鼓勵當?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供 政策扶持。

宣傳推廣：組織通過數(shù)據(jù)安全認證，結(jié)合數(shù)據(jù)安全體系建設的經(jīng)驗，可形成行業(yè)最佳實踐，擴大行業(yè)知名度，帶動行業(yè)發(fā)展。

核心競爭力：通過數(shù)據(jù)安全認證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務提供方，提升自身核心競爭力，為企業(yè)客戶提供安全的數(shù)據(jù)服務。

十、DSMM與ISO27001和等保的區(qū)別

等保標準以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)網(wǎng)絡系統(tǒng)安全，側(cè)重于物理安全、網(wǎng)絡安全、安全建設管理等方面的網(wǎng)絡系統(tǒng)安全保護。

ISO27001標準是以組織為對象，偏向信息安全管理，側(cè)重于指導組織依據(jù)信息安全風險評估的結(jié)果選擇合適的控制措施，設計構建信息安全管理體系。

DSMM強調(diào)數(shù)據(jù)保護，以數(shù)據(jù)為中心，在數(shù)據(jù)備份、數(shù)據(jù)銷毀等方面與等保和ISO27000有重合，但是DSMM關注的數(shù)據(jù)采集、溯源、分析等視角，等保和ISO27000均未涉及，DSMM對制度流程的要求均建立在具體的數(shù)據(jù)保護過程之上，DSMM還強調(diào)對人員能力的評估。

DSMM標準與等保一樣有分級的概念，但關注的是數(shù)據(jù)整個生命周期的安全控制，與業(yè)務貼合更緊密。

十一、如何核查DSMM證書的有效性和公正性

可通過國家市場監(jiān)督管理總局全國認證認可信息公共服務平臺(http://cx.cnca.cn/CertECloud/index/index/page)查詢證書詳情，并核查驗證證書的有效性。

企業(yè)獲取DSMM證書后如何維持證書的有效性

證書有效期為三年，根據(jù)現(xiàn)行評估規(guī)則不需要每年監(jiān)督。證書到期前至少提前三個月申請再認證評估。

十二、DSMM部分地區(qū)政策補貼詳情

天津市DSMM補貼

對首次通過國家《數(shù)據(jù)安全能力成熟度模型》(GB/T 37988—2019.DSMM)、《數(shù)據(jù)管理能力成熟度評估模型》(GB/T 36073—2018.DCMM)認證的企業(yè)，分別給予最高50萬元支持。(責任單位：市委網(wǎng)信辦、市工業(yè)和信息化局、市財政局、各區(qū)人民政府)

貴陽市DSMM補貼

支持企業(yè)提升管理能力。對首次通過軟件能力成熟度模型集成(CMMI)3級及以上、數(shù)據(jù)管理能力成熟度評估模型(DCMM)2級及以上、數(shù)據(jù)安全能力成熟度模型(DSMM)2級及以上認證，且證書在有效期內(nèi)的企業(yè)，CMMI認證按3級、4級、5級分別給予一次性10萬元、20萬元、30萬元資金支持;DCMM認證按2級、3級、4級及以上分別給予一次性10萬元、20萬元、30萬元資金支持;DSMM2級及以上認證給予一次性30萬元資金支持。

DSMM認證流程及所需材料清單

DSMM認證流程

1. 受理評估申請 在申請DSMM認證的第一步，申請單位需要提交數(shù)據(jù)安全能力成熟度評估申請表以及其他必要的附件材料。市場人員會接收這些材料，并對申請方提交的認證申請書及相關資料進行審理。審理的內(nèi)容包括確認所需的基本信息是否完整提供，與申請方之間的理解差異是否消除，公司是否有能力實施所申請的認證活動，申請內(nèi)容是否在評估范圍內(nèi)，申請表填報信息是否完整，以及申請方的運作場所、期望完成審核需要的時間和任何其他影響認證活動的因素。

2. 組建評估工作組 服務協(xié)議簽訂后，業(yè)務部門管理者將組建評估工作組，并指定評估工作組組長。評估工作組組長將負責評估階段的各項組織工作。

3. 制定評估計劃及方案 評估工作組需要與申請單位進行需求溝通，明確本次評估的目的、限制條件、評估范圍及成果輸出，并做出公正性和保密性承諾。之后，評估工作組應制定詳盡的實施計劃，包括評估內(nèi)容及范圍、現(xiàn)場評估地點、工作組分工、工作日程安排、項目中止條件等。

4. 文件評審 評估工作組將依據(jù)認證依據(jù)和評估方案對申請方提交的文件資料進行審核。審核的內(nèi)容包括申請表信息的完整性以及企業(yè)是否基本具備所申請能力等級的基本條件。

5. 實施現(xiàn)場評估 現(xiàn)場評估工作需要在申請單位的主要經(jīng)營和技術研發(fā)所在地進行。

6. 評估決定 發(fā)證申請評估組組長向認證決定人員提交書面評估結(jié)果，申請證書發(fā)放。

7. 監(jiān)督審查 對獲得認證證書的組織，相關機構將開展監(jiān)督審查工作。這包括每年度進行一次監(jiān)督審核，以及在發(fā)生重大數(shù)據(jù)安全事故或組織結(jié)構、人員等方面發(fā)生重大變更等情況時增加現(xiàn)場監(jiān)督審核的頻次。

8. 再評估 證書有效期為三年，若獲證組織希望繼續(xù)持有評估證書，應在評估證書有效期滿前三個月向公司提出再評估申請，并提交相關資料。再評估活動的流程與初次評估相同。

所需材料清單

1. 企業(yè)營業(yè)執(zhí)照 企業(yè)營業(yè)執(zhí)照是辦理DSMM認證的基本要求，作為企業(yè)的法定證明文件。

2. 組織架構圖 組織架構圖應展示企業(yè)的組織架構，明確各部門和崗位的職責與關系。

3. 數(shù)據(jù)安全管理制度 企業(yè)需要提供自身的數(shù)據(jù)安全管理制度，包括數(shù)據(jù)安全政策、管理制度、流程等。

4. 技術防護措施 企業(yè)需要說明自身采取的技術防護措施，如數(shù)據(jù)加密、訪問控制、安全審計等。

5. 人員培訓情況 企業(yè)需要提供人員培訓情況的相關材料，包括培訓計劃、培訓內(nèi)容、培訓效果評估等。

6. 數(shù)據(jù)安全自評估報告 企業(yè)需要進行數(shù)據(jù)安全自評估，并提交自評估報告。自評估報告應包括企業(yè)的數(shù)據(jù)安全現(xiàn)狀、存在的風險和問題、改進措施等內(nèi)容。

7. 其他相關材料 根據(jù)認證機構的具體要求，企業(yè)可能需要提供其他相關材料，如數(shù)據(jù)安全事件處置記錄、數(shù)據(jù)安全審計報告等。

以上是DSMM認證的基本流程和所需材料清單。請注意，根據(jù)最新的政策和要求，這些流程和材料可能會有所變化。在申請認證之前，建議與專業(yè)的咨詢服務機構聯(lián)系，獲取最準確的信息和指導。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202407/ccaa_64306.html