DSMM數(shù)據(jù)安全能力成熟度評(píng)估

     隨著信息技術(shù)的發(fā)展，人類社會(huì)已經(jīng)進(jìn)入數(shù)字時(shí)代，數(shù)據(jù)的指數(shù)級(jí)增長(zhǎng)已經(jīng)成為常態(tài)。數(shù)據(jù)具有極大的價(jià)值變現(xiàn)特點(diǎn)，世界各國(guó)都強(qiáng)烈意識(shí)到數(shù)據(jù)的重要性。然而，數(shù)據(jù)的價(jià)值變現(xiàn)、有效利用的前提是數(shù)據(jù)是安全的，所以，數(shù)據(jù)安全的保護(hù)能力，是數(shù)據(jù)有效利用的基礎(chǔ)。我國(guó)也從國(guó)家層面，制定了相關(guān)法律法規(guī)，明確要求要合規(guī)、合法、有效的做好數(shù)據(jù)安全的保護(hù)。

    DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機(jī)構(gòu)的數(shù)據(jù)安全能力，促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

    DSMM的架構(gòu)由四個(gè)安全能力維度、七個(gè)安全過(guò)程維度、五個(gè)安全能力等級(jí)構(gòu)成。

1.四個(gè)安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力；

2.七個(gè)安全過(guò)程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計(jì)30個(gè)過(guò)程域；

3.五個(gè)安全能力等級(jí)：從低到高依次1至5級(jí)。

DSMM每個(gè)級(jí)別有什么區(qū)別

DSMM等級(jí)劃分與核心特點(diǎn)如下：
L1非正式執(zhí)行：執(zhí)行非正式過(guò)程，隨機(jī)、無(wú)序、被動(dòng)執(zhí)行安全過(guò)程，依賴個(gè)人經(jīng)驗(yàn)，無(wú)法復(fù)制。

L2計(jì)劃跟蹤：在業(yè)務(wù)系統(tǒng)級(jí)別主動(dòng)實(shí)現(xiàn)了安全過(guò)程的計(jì)劃與執(zhí)行，但沒(méi)有形成體系化，可驗(yàn)證過(guò)程執(zhí)行與計(jì)劃一致，跟蹤、控制執(zhí)行的進(jìn)展。

L3充分定義：在組織級(jí)別實(shí)現(xiàn)了安全過(guò)程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過(guò)程進(jìn)行制度化，過(guò)程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。

L4量化控制：建立了量化目標(biāo)，安全過(guò)程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和安全過(guò)程有效性。

申請(qǐng)什么級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來(lái)判斷，沒(méi)有硬性規(guī)定初次申請(qǐng)級(jí)別的限制。大部分組織適合申請(qǐng)DSMM2級(jí)，DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng)，DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng)，DSMM5級(jí)暫不開(kāi)放申請(qǐng)。當(dāng)企業(yè)不確定能報(bào)幾級(jí)時(shí)，可以聯(lián)系佳普做分析預(yù)評(píng)估，0571-85131053。

DSMM貫標(biāo)流程

Step1：差距分析——Step2：能力建設(shè)——Step3：測(cè)量評(píng)估。

企業(yè)如何開(kāi)展貫標(biāo)準(zhǔn)備工作？

準(zhǔn)備工作分為三個(gè)階段：

（1）差距分析：對(duì)照能力等級(jí)標(biāo)準(zhǔn)的相關(guān)要求，梳理本企業(yè)數(shù)據(jù)管理的相關(guān)制度、執(zhí)行過(guò)程文檔、數(shù)據(jù)管理平臺(tái)和工具的相關(guān)資料，進(jìn)行差距分析，制定建設(shè)提升工作計(jì)劃。

（2）能力建設(shè)：健全數(shù)據(jù)管理組織，完善數(shù)據(jù)管理制度體系，優(yōu)化數(shù)據(jù)管理平臺(tái)和工具，開(kāi)展對(duì)標(biāo)自評(píng)估。

（3）量化評(píng)估：組建評(píng)估隊(duì)伍，提交正式評(píng)估申請(qǐng)，開(kāi)展第三方評(píng)估，獲取評(píng)估結(jié)果和提升整改意見(jiàn)。

DSMM的評(píng)價(jià)方法主要是評(píng)分制，先對(duì)每個(gè)過(guò)程域（PA）的四個(gè)能力維度（BP）進(jìn)行打分，再通過(guò)計(jì)算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

DSMM是針對(duì)企業(yè)數(shù)據(jù)安全管理和應(yīng)用能力的評(píng)估框架，從標(biāo)準(zhǔn)本身講，任何企業(yè)都可以申請(qǐng)，目前主要適用于兩類。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險(xiǎn)業(yè)、證券行業(yè)、保險(xiǎn)業(yè)、電子商務(wù)平臺(tái)、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開(kāi)發(fā)/運(yùn)營(yíng)商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

可通過(guò)國(guó)家市場(chǎng)監(jiān)督管理總局全國(guó)認(rèn)證認(rèn)可信息公共服務(wù)平臺(tái)（http://cx.cnca.cn/CertECloud/index/index/page）查詢證書(shū)詳情，并核查驗(yàn)證證書(shū)的有效性。

企業(yè)獲取DSMM證書(shū)后如何維持證書(shū)的有效性

證書(shū)有效期為三年，根據(jù)現(xiàn)行評(píng)估規(guī)則不需要每年監(jiān)督。證書(shū)到期前至少提前三個(gè)月申請(qǐng)?jiān)僬J(rèn)證評(píng)估。

1.等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評(píng)估對(duì)象，偏向傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全，側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)。

2.ISO27001標(biāo)準(zhǔn)是以組織為對(duì)象，偏向信息安全管理，側(cè)重于指導(dǎo)組織依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇合適的控制措施，設(shè)計(jì)構(gòu)建信息安全管理體系。

3.DSMM標(biāo)準(zhǔn)也是以組織為評(píng)估對(duì)象，聚焦數(shù)據(jù)全生命周期的防護(hù)，從四個(gè)安全能力維度提出分級(jí)要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)。

對(duì)通過(guò)國(guó)家《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019，DSMM）、《數(shù)據(jù)管理能力成熟度評(píng)估模型》（GB/T 36073—2018，DCMM）認(rèn)證的企業(yè)，最高可領(lǐng)取50萬(wàn)元的補(bǔ)貼。