GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（簡稱DSMM）標(biāo)準(zhǔn)要求是評估的依據(jù)。DSMM是從數(shù)據(jù)安全管理的角度，以企業(yè)組織的數(shù)據(jù)為核心，圍繞數(shù)據(jù)全生命周期進(jìn)行分析、發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)。

通過DSMM評估，可以對企業(yè)或組織核心業(yè)務(wù)系統(tǒng)所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行發(fā)現(xiàn)、識(shí)別和定性，幫助企業(yè)組織高效地定位自身數(shù)據(jù)安全短板、為企業(yè)組織提出具有針對性的數(shù)據(jù)安全能力提升路徑、防范數(shù)據(jù)安全事件風(fēng)險(xiǎn)，最終幫助企業(yè)組織獲得數(shù)據(jù)安全保護(hù)能力的成熟度證明，滿足安全合規(guī)要求。DSMM評估結(jié)果代表企業(yè)組織目前的數(shù)據(jù)安全防護(hù)水平，從L1至L5，級別越高代表的數(shù)據(jù)安全防護(hù)能力越強(qiáng)。

DSMM評估受數(shù)據(jù)價(jià)值、合規(guī)要求、組織發(fā)展等多方面驅(qū)動(dòng)，各方面都有數(shù)據(jù)安全工作關(guān)注要素。根據(jù)我們在政務(wù)、金融等多個(gè)領(lǐng)域的評估實(shí)踐來看，DSMM評估的關(guān)鍵要素主要由以下幾個(gè)方面構(gòu)成：

要素一：能力建設(shè)目標(biāo)

DSMM評估首先要確定建設(shè)目標(biāo)，即數(shù)據(jù)安全能力成熟度級別。

DSMM定義了數(shù)據(jù)安全能力的5個(gè)級別。L1級為隨機(jī)、無序、被動(dòng)地執(zhí)行全過程，完全依賴于個(gè)人經(jīng)驗(yàn)，無法復(fù)制；L2級為計(jì)劃跟蹤級別，適合多數(shù)企業(yè)數(shù)據(jù)安全能力建設(shè)的申請級別；L3級為充分定義級，要求足夠的數(shù)據(jù)安全團(tuán)隊(duì)保障、完善的制度流程和專業(yè)的技術(shù)工具，因此在人力、物力、財(cái)力等方面投入要遠(yuǎn)高于L2級，適合具有較高數(shù)據(jù)安全實(shí)踐水平的企業(yè)組織申請；L4級為量化控制級，適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的企業(yè)組織申請；L5根據(jù)企業(yè)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和數(shù)據(jù)安全過程。

要素二：數(shù)據(jù)資產(chǎn)范圍

數(shù)據(jù)資產(chǎn)是為組織產(chǎn)生價(jià)值的數(shù)據(jù)資源，是指可以提升企業(yè)組織效益、提高管理水平或通過出售、租賃數(shù)據(jù)的方式獲得經(jīng)濟(jì)收益。

核心業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)、密鑰資產(chǎn)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)納入數(shù)據(jù)資產(chǎn)評估范圍。對于有些企業(yè)組織，業(yè)務(wù)系統(tǒng)未進(jìn)行集成化管理，具備幾十甚至上百個(gè)系統(tǒng)，大大增加了DSMM評估企業(yè)的整改成本，在明確數(shù)據(jù)資產(chǎn)范圍過程中，可暫不納入輔助業(yè)務(wù)系統(tǒng)。評估人員有義務(wù)幫助企業(yè)組織平衡業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全整改成本與數(shù)據(jù)資產(chǎn)收益。

要素三：數(shù)據(jù)安全風(fēng)險(xiǎn)

在DSMM評估工作過程中，評估人員應(yīng)幫助企業(yè)組織對自身數(shù)據(jù)資產(chǎn)的業(yè)務(wù)系統(tǒng)在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換和銷毀過程，梳理數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)，并記錄所有風(fēng)險(xiǎn)點(diǎn)，全面掌握企業(yè)組織的數(shù)據(jù)安全能力現(xiàn)狀與建設(shè)目標(biāo)的差距。

數(shù)據(jù)安全風(fēng)險(xiǎn)分布

為了更好地識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)，有效有條不紊地通過數(shù)據(jù)安全能力成熟度，評估人員應(yīng)熟練掌握GB∕T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》、GB∕T 35274-2017《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》等技術(shù)框架，以及《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》等上位法，必要時(shí)應(yīng)對企業(yè)組織所屬行業(yè)規(guī)范、合規(guī)要求進(jìn)行了解。

要素四：數(shù)據(jù)安全意識(shí)

評估人員具備豐富的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)是DSMM評估工作的前提。評估人員需要幫助企業(yè)組織依據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)，根據(jù)數(shù)據(jù)流轉(zhuǎn)過程、企業(yè)組織運(yùn)作方式，形成數(shù)據(jù)安全風(fēng)險(xiǎn)知識(shí)庫。依據(jù)知識(shí)庫，企業(yè)組織數(shù)據(jù)安全法律法規(guī)、數(shù)據(jù)泄漏案例等培訓(xùn)，提高員工數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)。

要素五：數(shù)據(jù)安全團(tuán)隊(duì)

數(shù)據(jù)安全團(tuán)隊(duì)是決策層與執(zhí)行層的橋梁，是評估過程重點(diǎn)考察的對象?？疾靸?nèi)容包括團(tuán)隊(duì)對決策層數(shù)據(jù)安全建設(shè)目標(biāo)的理解、相關(guān)數(shù)據(jù)安全制度的完善性、崗位設(shè)計(jì)的科學(xué)性、分工（權(quán)、責(zé)、利）合理性以及獎(jiǎng)懲機(jī)制執(zhí)行效果等，數(shù)據(jù)安全團(tuán)隊(duì)整體體現(xiàn)企業(yè)人員的數(shù)據(jù)安全能力。

綜上所述，要素三至要素五在DSMM評估過程中存在很多主觀內(nèi)容，因此評估人員的專業(yè)度、經(jīng)驗(yàn)積累和引導(dǎo)能力非常重要。

數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險(xiǎn)業(yè)、證券行業(yè)、電子商務(wù)平臺(tái)、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

據(jù)方案提供方：數(shù)數(shù)據(jù)開發(fā)/運(yùn)營商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。