DSMM數(shù)據(jù)安全能力成熟度評估

     隨著信息技術的發(fā)展，人類社會已經進入數(shù)字時代，數(shù)據(jù)的指數(shù)級增長已經成為常態(tài)。數(shù)據(jù)具有極大的價值變現(xiàn)特點，世界各國都強烈意識到數(shù)據(jù)的重要性。然而，數(shù)據(jù)的價值變現(xiàn)、有效利用的前提是數(shù)據(jù)是安全的，所以，數(shù)據(jù)安全的保護能力，是數(shù)據(jù)有效利用的基礎。我國也從國家層面，制定了相關法律法規(guī)，明確要求要合規(guī)、合法、有效的做好數(shù)據(jù)安全的保護。

    DSMM 標準關注企業(yè)自身業(yè)務產生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機構的數(shù)據(jù)安全能力，促進組織機構了解并提升自身的數(shù)據(jù)安全水平。

    DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。

1.四個安全能力維度:組織建設、制度流程、技術工具、人員能力；

2.七個安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計30個過程域；

3.五個安全能力等級：從低到高依次1至5級。

DSMM每個級別有什么區(qū)別

DSMM等級劃分與核心特點如下：
L1非正式執(zhí)行：執(zhí)行非正式過程，隨機、無序、被動執(zhí)行安全過程，依賴個人經驗，無法復制。

L2計劃跟蹤：在業(yè)務系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進展。

L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標準過程進行制度化，過程可重復執(zhí)行，執(zhí)行結果可核查。

L4量化控制：建立了量化目標，安全過程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標，不斷改進和優(yōu)化組織能力和安全過程有效性。

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領域建設水平領先的組織申請，DSMM5級暫不開放申請。當企業(yè)不確定能報幾級時，可以聯(lián)系佳普做分析預評估，0571-85131053。

DSMM貫標流程

Step1：差距分析——Step2：能力建設——Step3：測量評估。

企業(yè)如何開展貫標準備工作？

準備工作分為三個階段：

（1）差距分析：對照能力等級標準的相關要求，梳理本企業(yè)數(shù)據(jù)管理的相關制度、執(zhí)行過程文檔、數(shù)據(jù)管理平臺和工具的相關資料，進行差距分析，制定建設提升工作計劃。

（2）能力建設：健全數(shù)據(jù)管理組織，完善數(shù)據(jù)管理制度體系，優(yōu)化數(shù)據(jù)管理平臺和工具，開展對標自評估。

（3）量化評估：組建評估隊伍，提交正式評估申請，開展第三方評估，獲取評估結果和提升整改意見。

DSMM的評價方法主要是評分制，先對每個過程域（PA）的四個能力維度（BP）進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

DSMM是針對企業(yè)數(shù)據(jù)安全管理和應用能力的評估框架，從標準本身講，任何企業(yè)都可以申請，目前主要適用于兩類。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術產業(yè)、互聯(lián)網企業(yè)、金融業(yè)、銀行業(yè)、保險業(yè)、證券行業(yè)、保險業(yè)、電子商務平臺、數(shù)據(jù)中心、政務和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開發(fā)/運營商、信息系統(tǒng)建設和服務提供商、信息技術服務提供商等。

可通過國家市場監(jiān)督管理總局全國認證認可信息公共服務平臺（http://cx.cnca.cn/CertECloud/index/index/page）查詢證書詳情，并核查驗證證書的有效性。

企業(yè)獲取DSMM證書后如何維持證書的有效性

證書有效期為三年，根據(jù)現(xiàn)行評估規(guī)則不需要每年監(jiān)督。證書到期前至少提前三個月申請再認證評估。

1.等保標準以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)網絡系統(tǒng)安全，側重于物理安全、網絡安全、安全建設管理等方面的網絡系統(tǒng)安全保護。

2.ISO27001標準是以組織為對象，偏向信息安全管理，側重于指導組織依據(jù)信息安全風險評估的結果選擇合適的控制措施，設計構建信息安全管理體系。

3.DSMM標準也是以組織為評估對象，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務貼合緊密的數(shù)據(jù)安全架構。

對通過國家《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019，DSMM）、《數(shù)據(jù)管理能力成熟度評估模型》（GB/T 36073—2018，DCMM）認證的企業(yè)，最高可領取50萬元的補貼。