DSMM是什么？

《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019) (以下簡稱“DSMM”）是由阿里巴巴聯(lián)合中國電子技術(shù)標準化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機構(gòu)聯(lián)合編寫的國家標準，于2019年8月30日發(fā)布，2020年3月1日正式實施。

DSMM與其他資質(zhì)區(qū)別

ISO27001是信息安全管理體系。ISO27001標準是以組織為對象，偏向信息安全管理，側(cè)重于指導(dǎo)組織依據(jù)信息安全風險評估的結(jié)果選擇合適的控制措施，設(shè)計構(gòu)建信息安全管理體系。

DSMM是Data Security capability MaturityModel的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實施的GB/T 37988-2019 《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護體系。DSMM標準也是以組織為評估對象，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)。

DCMM即《數(shù)據(jù)管理能力成熟度評估模型》，是我國在數(shù)據(jù)管理領(lǐng)域首個正式發(fā)布的國家標準。DCMM標準以組織為評估對象，DCMM數(shù)據(jù)管理能力成熟度評估模型定義了數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)標準和數(shù)據(jù)生存周期八個核心能力域及28個能力項，并以組織、制度、流程和技術(shù)作為八個核心域評價維度。幫助企業(yè)利用先進的數(shù)據(jù)管理理念和方法，建立和評價自身數(shù)據(jù)管理能力，持續(xù)完善數(shù)據(jù)管理組織、程序和制度，充分發(fā)揮數(shù)據(jù)在促進企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價值。

DSMM的意義與價值？

理清企業(yè)數(shù)據(jù)安全現(xiàn)狀，發(fā)現(xiàn)企業(yè)和組織的數(shù)據(jù)安全能力短板。

帶來差異化競爭力：數(shù)據(jù)安全能力成熟度的認證能向企業(yè)的客戶及合作伙伴表明組織保障數(shù)據(jù)安全的能力，令其對組織的信心加強，有助于增加組織在同行業(yè)內(nèi)的競爭優(yōu)勢，穩(wěn)固市場地位。

減少可能的損失：數(shù)據(jù)安全能力的提升，能在一定程度上降低數(shù)據(jù)安全事件給組織帶來的不良聲譽影響和可能的經(jīng)濟損失。增強員工的意識和相關(guān)技能：提升組織數(shù)據(jù)安全管理人員的技能，增強全體員工的數(shù)據(jù)安全意識。

確保已建立的數(shù)據(jù)安全保障體系有效運轉(zhuǎn)和持續(xù)提升，從而整體上提升企業(yè)的數(shù)據(jù)安全水平。

從數(shù)據(jù)的安全保護、合規(guī)使用到數(shù)據(jù)的開發(fā)利用，數(shù)據(jù)安全能力成熟度的認證和持續(xù)監(jiān)督審核是組織數(shù)據(jù)安全的體檢措施，能為數(shù)據(jù)生產(chǎn)要素價值的實現(xiàn)打好基礎(chǔ)。

DSMM的架構(gòu)與內(nèi)容

DSMM評估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期,對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數(shù)據(jù)安全能力過程域和576個基本實踐。DSMM的架構(gòu)由以下三個維度構(gòu)成：

（1）安全能力維度：安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力.包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。

（2）能力成熟度等級維度：組織的數(shù)據(jù)安全能力成熟度等級劃分為五級，具體包括：1級（非正式執(zhí)行級），2級（計劃跟蹤級），3 級（充分定義級），4級（量化控制級），5級（持續(xù)優(yōu)化級）。

（3）數(shù)據(jù)安全過程維度：數(shù)據(jù)安全過程包括數(shù)據(jù)生存周期安全過程和通用安全過程；數(shù)據(jù)生存周期安全過程具體包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個階段。

⑤DSMM每個等級區(qū)別

1級（非正式執(zhí)行）主要特點：數(shù)據(jù)安全工作是隨機、無序、被動執(zhí)行的，依賴與個人，經(jīng)驗無法復(fù)制。組織在數(shù)據(jù)安全領(lǐng)域未執(zhí)行有效的相關(guān)工作，僅在部分場景或項目的臨時需求執(zhí)行相關(guān)工作，未形成成熟的機制，來保障數(shù)據(jù)安全相關(guān)工作的持續(xù)開展。

2級（計劃跟蹤）主要特點：在項目級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，沒有形成體系化。規(guī)劃執(zhí)行，對數(shù)據(jù)安全過程進行規(guī)劃，提前分配資源和責任；規(guī)范化執(zhí)行，對安全過程進行控制，使用安全執(zhí)行計劃，執(zhí)行相關(guān)標準和程序的過程，對數(shù)據(jù)安全過程實施配置管理；驗證執(zhí)行，確認過程按照預(yù)定的方式執(zhí)行，驗證執(zhí)行過程與可應(yīng)用的計劃是一致的，對數(shù)據(jù)安全過程進行審計；跟蹤執(zhí)行，控制數(shù)據(jù)安全項目的進展，通過可測量的計劃跟蹤過程執(zhí)行，當過程實踐與計劃產(chǎn)生重大的偏離時采取修正行動。

3級（充分定義）主要特點：在組織級別實現(xiàn)了安全過程的規(guī)范定義和執(zhí)行。定義標準過程，組織對標準過程進行制度化，形成標準化過程文檔，為滿足特定用途對標準過程進行裁剪；執(zhí)行已定義的過程，充分定義的過程可重復(fù)執(zhí)行，針對有缺陷的過程結(jié)果和安全實踐的核查，使用過程執(zhí)行的結(jié)果數(shù)據(jù)；協(xié)調(diào)安全實踐，對業(yè)務(wù)系統(tǒng)和組織的協(xié)調(diào)，確定業(yè)務(wù)系統(tǒng)內(nèi)，各業(yè)務(wù)系統(tǒng)之間、組織外部活動的協(xié)調(diào)機制。

4級（量化控制）主要特點：建立了量化目標，安全過程可量化度量和預(yù)測。建立可測的目標，為組織數(shù)據(jù)安全建立可測量的目標；客觀的管理執(zhí)行，確定過程能力的量化測量來管理安全過程，以量化測量作為修正行動的基礎(chǔ)。

5級（持續(xù)優(yōu)化）主要特點：根據(jù)組織的整理戰(zhàn)略和目標，不斷改進和優(yōu)化數(shù)據(jù)安全過程。改進組織能力，在整個組織范圍內(nèi)的標準過程使用情況進行比較，尋找改進標準過程的機會，分析對標準過程的可能變更。改進過程有效性，制定處于連續(xù)受控改進狀態(tài)下的標準過程，提出消除標準過程產(chǎn)生缺陷的原因和持續(xù)改進的標準過程。

初次申請DSMM可以申請什么級別？

申請什么認證的級別主要依據(jù)企業(yè)的實際情況來判斷，沒有強制硬性規(guī)定初次申請級別的限制。大部分組織都適合申請DSMM2級認證，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請。DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請。最高級DSMM5級目前暫不開放申請。

⑦DSMM貫標咨詢流程

第一步：差距分析（1個月），第二步：能力建設(shè)（3個月），第三步：測量評估（1個月）

【評估關(guān)鍵要素】

哪些企業(yè)適合申請DSMM

DSMM標準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于：

數(shù)據(jù)擁有方:大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險業(yè)、證券行業(yè)、電子商務(wù)平臺、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

數(shù)據(jù)方案提供方:數(shù)據(jù)開發(fā)/運營商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

申請DSMM哪些部門要核心參與？

1）管理層：高層管理層，主要了解目前這個公司有沒有相應(yīng)的數(shù)據(jù)安全策略和方針，以及對組織設(shè)置的建議，涉及到后面的組織能力建設(shè)工作以及數(shù)據(jù)安全戰(zhàn)略規(guī)劃有沒有相應(yīng)的預(yù)算。如果這個公司本身是把數(shù)據(jù)安全劃到 IT 安全和信息安全和網(wǎng)絡(luò)安全里面，是很小的一塊，推數(shù)據(jù)安全的能力建設(shè)就會有比較大的阻力，因為不是他目前的一個重要重點工作。

2）研發(fā)部門：主要需了解系統(tǒng)業(yè)務(wù)定位、系統(tǒng)架構(gòu)、業(yè)務(wù)數(shù)據(jù)范圍及數(shù)據(jù)采集、傳輸、處理、交換過程中的數(shù)據(jù)安全保護建設(shè)情況等內(nèi)容。以及要了解重要的業(yè)務(wù)和系統(tǒng)，在整個生命周期什么位置，比如說它是屬于采集環(huán)節(jié)，還是屬于數(shù)據(jù)處理環(huán)節(jié)？然后對重要的系統(tǒng)，要了解系統(tǒng)主要的用戶，用戶的規(guī)模大概多少，數(shù)據(jù)的模型架構(gòu)，內(nèi)部數(shù)據(jù)的流轉(zhuǎn)情況，以及它與外部系統(tǒng)的之間的數(shù)據(jù)關(guān)系；要了解業(yè)務(wù)數(shù)據(jù)的流轉(zhuǎn)過程，包括在采集環(huán)節(jié)，采集的方式、渠道范圍，合規(guī)性的控制。數(shù)據(jù)在傳輸環(huán)節(jié)要備份恢復(fù)，能夠傳輸加密。數(shù)據(jù)處理環(huán)節(jié)就要了解這個系統(tǒng)數(shù)據(jù)處理和數(shù)據(jù)分析的功能有哪些？有沒有一些脫敏的場景和脫敏的規(guī)則，以及數(shù)據(jù)后臺的數(shù)據(jù)管理是怎么運作的？它的功能有哪些？

3）運維部門：需要了解網(wǎng)絡(luò)架構(gòu)、安全要求、安全技術(shù)工具及數(shù)據(jù)存儲、數(shù)據(jù)銷毀過程、數(shù)據(jù)安全保護建設(shè)情況等內(nèi)容。