近些年，數(shù)據(jù)要素的重要性日益凸顯，為保護數(shù)據(jù)安全，國家制定了一系列法律法規(guī)。企業(yè)在開展工作時，需要特別關(guān)注數(shù)據(jù)安全法相關(guān)合規(guī)要求的落地實施。其中，《中華人民共和國數(shù)據(jù)安全法》(以下簡稱為《數(shù)據(jù)安全法》）強調(diào)總體國家安全觀，明確國家和監(jiān)管部門應(yīng)建立數(shù)據(jù)分級、風險監(jiān)測、應(yīng)急響應(yīng)、安全審查、出口管制等五大機制和制度，是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律。

從個人信息安全，到企業(yè)數(shù)據(jù)安全、上云安全，進而到國家安全，只要有數(shù)據(jù)應(yīng)用，安全問題就會伴隨其中。如何保障數(shù)據(jù)要素合法安全、有效流通，充分發(fā)揮數(shù)據(jù)要素價值，是數(shù)字化轉(zhuǎn)型過程中，企業(yè)面臨的重要課題和挑戰(zhàn)。與《數(shù)據(jù)安全法》相對應(yīng)，企業(yè)層面需要從數(shù)據(jù)安全的管理制度、安全措施、風險監(jiān)測和評估、出境管理、合法采集等維度履行數(shù)據(jù)安全保護義務(wù)。

數(shù)據(jù)安全能力成熟度模型（簡稱DSMM）發(fā)布于2019年，早于《數(shù)據(jù)安全法》的頒布，但DSMM中有關(guān)數(shù)據(jù)生命周期的概念和相關(guān)要求與《數(shù)據(jù)安全法》有對應(yīng)關(guān)系。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個安全能力維度的建設(shè)進行綜合考量。DSMM劃分成了1-5個等級，依次為非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個三維立體模型，全方面對數(shù)據(jù)安全進行能力建設(shè)。

該標準能夠用來衡量一個組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟的發(fā)展。

數(shù)據(jù)安全相較于傳統(tǒng)網(wǎng)絡(luò)安全，更加聚焦數(shù)據(jù)內(nèi)容本身的保護，關(guān)注數(shù)據(jù)防泄漏、防濫用，注重防范數(shù)據(jù)風險與數(shù)據(jù)應(yīng)用之間的平衡，具有跨組織聯(lián)動，技術(shù)風險、操作風險、商業(yè)風險和法律風險并存的特點。

01、DSMM評估的價值

GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（簡稱DSMM）標準要求是評估的依據(jù)。DSMM是從數(shù)據(jù)安全管理的角度，以企業(yè)組織的數(shù)據(jù)為核心，圍繞數(shù)據(jù)全生命周期進行分析、發(fā)現(xiàn)數(shù)據(jù)安全風險。

通過DSMM評估，可以對企業(yè)或組織核心業(yè)務(wù)系統(tǒng)所面臨的數(shù)據(jù)安全風險進行發(fā)現(xiàn)、識別和定性，幫助企業(yè)組織高效地定位自身數(shù)據(jù)安全短板、為企業(yè)組織提出具有針對性的數(shù)據(jù)安全能力提升路徑、防范數(shù)據(jù)安全事件風險，最終幫助企業(yè)組織獲得數(shù)據(jù)安全保護能力的成熟度證明，滿足安全合規(guī)要求。DSMM評估結(jié)果代表企業(yè)組織目前的數(shù)據(jù)安全防護水平，從L1至L5，級別越高代表的數(shù)據(jù)安全防護能力越強。

02、DSMM評估的關(guān)鍵要素

DSMM評估受數(shù)據(jù)價值、合規(guī)要求、組織發(fā)展等多方面驅(qū)動，各方面都有數(shù)據(jù)安全工作關(guān)注要素。根據(jù)我們在政務(wù)、金融等多個領(lǐng)域的評估實踐來看，DSMM評估的關(guān)鍵要素主要由以下幾個方面構(gòu)成：

? 要素一：能力建設(shè)目標

DSMM評估首先要確定建設(shè)目標，即數(shù)據(jù)安全能力成熟度級別。

DSMM定義了數(shù)據(jù)安全能力的5個級別。L1級為隨機、無序、被動地執(zhí)行全過程，完全依賴于個人經(jīng)驗，無法復制；L2級為計劃跟蹤級別，適合多數(shù)企業(yè)數(shù)據(jù)安全能力建設(shè)的申請級別；L3級為充分定義級，要求足夠的數(shù)據(jù)安全團隊保障、完善的制度流程和專業(yè)的技術(shù)工具，因此在人力、物力、財力等方面投入要遠高于L2級，適合具有較高數(shù)據(jù)安全實踐水平的企業(yè)組織申請；L4級為量化控制級，適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的企業(yè)組織申請；L5根據(jù)企業(yè)組織的整體目標，不斷改進和優(yōu)化組織能力和數(shù)據(jù)安全過程。

? 要素二：數(shù)據(jù)資產(chǎn)范圍

數(shù)據(jù)資產(chǎn)是為組織產(chǎn)生價值的數(shù)據(jù)資源，是指可以提升企業(yè)組織效益、提高管理水平或通過出售、租賃數(shù)據(jù)的方式獲得經(jīng)濟收益。

核心業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)、密鑰資產(chǎn)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)納入數(shù)據(jù)資產(chǎn)評估范圍。對于有些企業(yè)組織，業(yè)務(wù)系統(tǒng)未進行集成化管理，具備幾十甚至上百個系統(tǒng)，大大增加了DSMM評估企業(yè)的整改成本，在明確數(shù)據(jù)資產(chǎn)范圍過程中，可暫不納入輔助業(yè)務(wù)系統(tǒng)。評估人員有義務(wù)幫助企業(yè)組織平衡業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全整改成本與數(shù)據(jù)資產(chǎn)收益。

? 要素三：數(shù)據(jù)安全風險

在DSMM評估工作過程中，評估人員應(yīng)幫助企業(yè)組織對自身數(shù)據(jù)資產(chǎn)的業(yè)務(wù)系統(tǒng)在數(shù)據(jù)的采集、傳輸、存儲、處理、交換和銷毀過程，梳理數(shù)據(jù)安全風險點，并記錄所有風險點，全面掌握企業(yè)組織的數(shù)據(jù)安全能力現(xiàn)狀與建設(shè)目標的差距。

▲數(shù)據(jù)安全風險分布

為了更好地識別數(shù)據(jù)安全風險，有效有條不紊地通過數(shù)據(jù)安全能力成熟度，評估人員應(yīng)熟練掌握GB∕T 37988-2019 《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》、GB∕T 35274-2017《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》等技術(shù)框架，以及《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》等上位法，必要時應(yīng)對企業(yè)組織所屬行業(yè)規(guī)范、合規(guī)要求進行了解。

? 要素四：數(shù)據(jù)安全意識

評估人員具備豐富的數(shù)據(jù)安全風險意識是DSMM評估工作的前提。評估人員需要幫助企業(yè)組織依據(jù)數(shù)據(jù)安全風險，根據(jù)數(shù)據(jù)流轉(zhuǎn)過程、企業(yè)組織運作方式，形成數(shù)據(jù)安全風險知識庫。依據(jù)知識庫，企業(yè)組織數(shù)據(jù)安全法律法規(guī)、數(shù)據(jù)泄漏案例等培訓，提高員工數(shù)據(jù)安全風險意識。

? 要素五：數(shù)據(jù)安全團隊

評估人員具備豐富的數(shù)據(jù)安全風險意識是DSMM評估工作的前提。評估人員需要幫助企業(yè)組織依據(jù)數(shù)據(jù)安全風險，根據(jù)數(shù)據(jù)流轉(zhuǎn)過程、企業(yè)組織運作方式，形成數(shù)據(jù)安全風險知識庫。依據(jù)知識庫，企業(yè)組織數(shù)據(jù)安全法律法規(guī)、數(shù)據(jù)泄漏案例等培訓，提高員工數(shù)據(jù)安全風險意識。

綜上所述，要素三至要素五在DSMM評估過程中存在很多主觀內(nèi)容，因此評估人員的專業(yè)度、經(jīng)驗積累和引導能力非常重要。

03評估服務(wù)

中國軟件評測中心DSMM評估團隊具有數(shù)據(jù)安全領(lǐng)域豐富的第三方服務(wù)經(jīng)驗，幫助企業(yè)組織梳理自身的數(shù)據(jù)安全能力現(xiàn)狀，識別數(shù)據(jù)安全潛在風險，通過組織、制度、人員和技術(shù)工具的落地，提升企業(yè)組織數(shù)據(jù)安全能力建設(shè)水平，達到數(shù)據(jù)資源價值最大化。

數(shù)字經(jīng)濟第三方公共服務(wù)平臺，正在全省范圍內(nèi)開展DSMM咨詢及評估工作，客戶覆蓋行業(yè)包括政府、金融、電力、通信等多個領(lǐng)域。