在數(shù)字經(jīng)濟時代，數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素，數(shù)據(jù)安全也成為關(guān)乎企業(yè)生存發(fā)展的重要議題。加強數(shù)據(jù)安全管理，提升數(shù)據(jù)安全能力，成為企業(yè)面臨的共同挑戰(zhàn)。數(shù)據(jù)安全能力成熟度模型(DSMM)應(yīng)運而生，為企業(yè)數(shù)據(jù)安全建設(shè)提供了科學(xué)指引和評估依據(jù)。

一、DSMM數(shù)據(jù)安全能力成熟度模型概述

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標準化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機構(gòu)聯(lián)合編寫的國家標準，于2019年8月30日發(fā)布，2020年3月1日正式實施。

DSMM借鑒了國際上成熟度模型的理論和實踐，結(jié)合我國數(shù)據(jù)安全現(xiàn)狀和需求，構(gòu)建了一套科學(xué)、系統(tǒng)、可操作的數(shù)據(jù)安全能力評估體系。

DSMM將組織的數(shù)據(jù)安全能力劃分為5個等級，1級低，5級高，目前5級還沒開放，一般企業(yè)初次申請是從2級開始，如果企業(yè)條件不錯，比如已經(jīng)通過ISO/IED27001也可以申請3級。有效期3年，每年監(jiān)督審核。

DSMM認證以數(shù)據(jù)為核心，圍繞數(shù)據(jù)的全生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力等多個維度，全面評估企業(yè)的數(shù)據(jù)安全能力，并幫助企業(yè)識別數(shù)據(jù)安全短板，制定針對性的改進計劃。幫助企業(yè)識別數(shù)據(jù)安全短板，明確改進方向，持續(xù)提升數(shù)據(jù)安全防護水平。

圖片來源：GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型

二、DSMM誰能做？——誰需要這把數(shù)據(jù)安全的“金鑰匙”？

DSMM適用于所有涉及數(shù)據(jù)處理活動的組織，包括但不限于：

DSMM標準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，申請條件如下：

這些條件確保了申請組織在數(shù)據(jù)安全方面具有一定的基本能力和管理體系，滿足上述條件，即可申請DSMM認證。

看到這些條件，可能還有疑問不知道做哪個級別?簡單點說，2級沒什么要求，基本都能申請。3級企業(yè)有80個左右的社保人員，也可以申請3級。

三、DSMM怎么做？——從評估到認證，步步為營構(gòu)建數(shù)據(jù)安全防線

DSMM評估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期，對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個能力維度進行評估，涵蓋5個成熟度級別、30個數(shù)據(jù)安全能力過程域和576個基本實踐（BP)。

DSMM評估認證流程通常分為三個階段，分為前期咨詢，內(nèi)部評估，現(xiàn)場評估認證。

(1) 前期咨詢：明確目標，制定方案

需求調(diào)研：評估機構(gòu)深入了解企業(yè)業(yè)務(wù)特點、數(shù)據(jù)安全現(xiàn)狀和評估目標。

方案制定：根據(jù)調(diào)研結(jié)果，制定個性化的DSMM評估認證方案，明確評估范圍、時間計劃、資源配置等。

標準宣貫：對企業(yè)相關(guān)人員進行DSMM標準培訓(xùn)，提升對標準的理解和應(yīng)用能力。

(2) 內(nèi)部評估：自查自糾，夯實基礎(chǔ)

差距分析：企業(yè)根據(jù)DSMM標準進行自評估，識別數(shù)據(jù)安全管理現(xiàn)狀與目標等級的差距。

能力建設(shè)：針對差距分析結(jié)果，制定并實施整改計劃，完善數(shù)據(jù)安全管理體系，提升數(shù)據(jù)安全能力。

文檔準備：整理完善數(shù)據(jù)安全管理制度、流程、記錄等文檔，為正式評估做好準備。

(3) 評估認證：專家把脈，權(quán)威認證

現(xiàn)場評估：評估機構(gòu)專家團隊進駐企業(yè)，通過訪談、查閱文檔、系統(tǒng)測試等方式進行現(xiàn)場評估。

評估報告：根據(jù)現(xiàn)場評估結(jié)果，形成評估報告，明確企業(yè)數(shù)據(jù)安全能力等級和改進建議。

認證決定：評估機構(gòu)根據(jù)評估報告做出認證決定，并頒發(fā)DSMM認證證書。

現(xiàn)場DSMM評估方式和ISO其他管理體系類似，主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗證等方式，具體情況如下：

（1）文檔審核：由被評價組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項。

（2）配置檢查：根據(jù)被審核方提供的技術(shù)材料，登陸相關(guān)的系統(tǒng)工具 平臺，檢査配置是否與材料保持一致，對文檔審核內(nèi)容進行核實。

（3）工具測試：利用技術(shù)工具對系統(tǒng)工具進行測試，驗證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術(shù) 能力要求，也可采信第三方的測試報告。

（4）旁站式驗證：審核人員在現(xiàn)場通過實地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識、業(yè)務(wù)操作、管理程序等方面的安全情況。

（5）人員訪談：通過訪談的方式與被審核方進行交流、討論 等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。

四、DSMM和DCMM的區(qū)別？

數(shù)據(jù)管理能力成熟度（DCMM）

DCMM是國家標準《數(shù)據(jù)管理能力成熟度評估模型GB/T36073-2018》(Data management Capability Maturity Model)的英文簡稱，DCMM是我國在數(shù)據(jù)管理領(lǐng)域首個正式發(fā)布的國家標準，旨在幫助企業(yè)利用先進的數(shù)據(jù)管理理念和方法，建立和評價自身數(shù)據(jù)管理能力，持續(xù)完善數(shù)據(jù)管理組織、程序和制度，充分發(fā)揮數(shù)據(jù)在促進企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價值。

DCMM適用于數(shù)據(jù)擁有方：如金融與保險機構(gòu)、互聯(lián)網(wǎng)企業(yè)、電信運營商、工業(yè)企業(yè)、數(shù)據(jù)中心所屬主體、高校、政務(wù)數(shù)據(jù)中心等

數(shù)據(jù)安全能力成熟度(DSMM)

DSMM標準能夠用來衡量一個組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟的發(fā)展。

DSMM標準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202511/ccaa_74330.html