一文带你了解数据安全能力成熟度模型（DSMM）认证｜全面提升企业数据安全治理能力

随着我国经济与科技水平的进步，数据已成为驱动各行各业创新发展的重要资源之一。在国家大力推广数据战略的形势下，数据安全相关法律相继出台。其中，我国数据安全领域的首部专门律法《数据安全法》中提到：国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

# 01

DSMM是什么

《信息安全技术—数据安全能力成熟度模型》（GB/T37988-2019）是2020年3月1日实施的一项中华人民共和国国家标准，归口于全国信息安全标准化技术委员会。 

《信息安全技术—数据安全能力成熟度模型》（GB/T37988-2019）给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

# 02

实施DSMM的意义

1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。

2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。

4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

# 03

DSMM对企业的价值

资产保护：企业通过数据安全认证可建立完善数据安全体系，制定全面合理的数据安全制度流程及管理措施，提高企业数据安全保护意识，保障企业数据资产安全。

风险防控：数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力，更能从源头对风险进行防控，降低数据安全事故发生的概率。

合规要求:《数据安全法》《个人信息保护法》等相关法律法规相继出台，对企业数据安全建设提出了要求，数据安全认证可帮助企业满足相关法律法规要求，落实责任义务。

政策扶持：随着相关法律法规完善，各地区政府鼓励当地企业组织建立数据安全合规体系，并提供 政策扶持。

宣传推广：组织通过数据安全认证，结合数据安全体系建设的经验，可形成行业zuijia实践，扩大行业zhiming度，带动行业发展。

核心竞争力：通过数据安全认证的企业，可作为高度受信的数据拥有方及数据服务提供方，提升自身核心竞争力，为企业客户提供安全的数据服务。

# 04

DSMM的架构

DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。

四个安全能力维度:组织建设、制度流程、技术工具、人员能力；

七个安全过程维度：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全，共计30个过程域；

五个安全能力等级：从低到高依次1至5级。

# 05

DSMM评估内容

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

1）维度一：安全能力（4个关键能力）安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力。

2）维度二：能力成熟度等级（5级）共分为5级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

3）维度三：数据安全过程（6+1）具体包括：数据生存周期安全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程。

# 06

DSMM每个等级区别

1级（非正式执行）主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2级（计划跟踪）主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。规划执行，对数据安全过程进行规划，提前分配资源和责任；规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

3级（充分定义）主要特点：在组织级别实现了安全过程的规范定义和执行。定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

4级（量化控制）主要特点：建立了量化目标，安全过程可量化度量和预测。建立可测的目标，为组织数据安全建立可测量的目标；客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5级（持续优化）主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。

# 07

初次申请的级别

申请什么级别主要依据企业的实际情况来判断，没有硬性规定初次申请级别的限制。

大部分组织适合申请DSMM2级，

DSMM3级适合具有较高数据安全实践水平的组织申请，

DSMM4级适合在数据安全领域建设水平lingxian的组织申请，

DSMM5级暂不开放申请。

# 08

DSMM贯标咨询流程

# 09

DSMM评价方法和评估方式

DSMM的评价方法主要是评分制，先对每个过程域（PA）的四个能力维度（BP）进行打分，再通过计算平均分、修正分值的方式得到Zui终的PA分值，Zui终得到整体的综合得分。

DSMM评估方式有哪些？

DSMM评估方式主要包括人员访谈、文档审 核、配置检查、工具测试、旁站式验证等方式，具体情况如下：

（1）文档审核：由被评价组织输入与数据安全相关的文档材料（如数据 安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单）、审核小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项。

（2）配置检查：根据被审核方提供的技术材料，登陆相关的系统工具 平台，检査配置是否与材料保持一致，对文档审核内容进行核实。

（3）工具测试：利用技术工具对系统工具进行测试，验证是 否符合数据安全成熟度模型特定等级的技术能力要求，也可采信第三方的测试报告。

（4）旁站式验证：审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。

（5）人员访谈：通过访谈的方式与被审核方进行交流、讨论 等活动，获取相关证据，了解有关信息。

# 10

哪些企业适合申请

DSMM标准的适用范围非常广泛，没有行业的限制，对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM，包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。

# 11

证书颁发及模板

可通过国家市场监督管理总局全国认证认可信息公共服务平台http://cx.cnca.cn/CertECloud/index/index/page查询证书详情，并核查验证证书的有效性。

证书有效期为三年，根据现行评估规则不需要每年监督。证书到期前至少提前三个月申请再认证评估。