DSMM数据安全管理能力成熟度

DSMM

数据安全

管理能力成熟度

01

什么是DSMM

DSMM是

Data Security capability MaturityModel的缩写，

中文名为数据安全能力成熟度模型。

《信息安全技术—数据安全能力成熟度模型》（GB/T37988-2019）是2020年3月1日实施的一项中华人民共和国国家标准，归口于全国信息安全标准化技术委员会。 

《信息安全技术—数据安全能力成熟度模型》（GB/T37988-2019）给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

02

国家制定了哪些法律法规

DCMM模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据治理、数据标准和数据生存周期八个核心能力域和28个能力项。国家先于企业和机构更早意识到数据的价值和数据安全的重要性，通过政策或立法的方式，给企业和个人进行规范和要求，逐渐培养人们的数据安全意识。目前国家制定的数据安全相关法律主要有：

2016年实施的《中华人民共和国网络安全法》；

2021年实施的《中华人民共和国数据安全法》；

2021年实施的《中华人民共和国个人信息保护法》。

03

DSMM与ISO27001

和等保的区别

等保标准以备案系统为主要评估对象，偏向传统网络系统安全，侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。

ISO27001标准是以组织为对象，偏向信息安全管理，侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施，设计构建信息安全管理体系。

DSMM标准也是以组织为评估对象，聚焦数据全生命周期的防护，从四个安全能力维度提出分级要求，帮助组织打造与业务贴合紧密的数据安全架构。

04

实施DSMM的意义与价值

DSMM 标准可为组织在不同阶段，开展数据保护建设，提供分级别的实践指南。通过实施DSMM评估，可以：

1、促进组织机构了解并提升自身的数据安全水平，从数据生命周期的角度出发，结合各类数据业务发展所体现的安全需求开展数据安全保障工作；

2、保障数据在组织机构之间安全地交换与共享，充分发挥数据的价值，打造更安全的大数据应用环境。

那么认证DSMM对企业有哪些价值呢？

资产保护：企业通过数据安全认证可建立完善数据安全体系，制定全面合理的数据安全制度流程及管理措施，提高企业数据安全保护意识，保障企业数据资产安全。

风险防控：数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力，更能从源头对风险进行防控，降低数据安全事故发生的概率。

合规要求:《数据安全法》《个人信息保护法》等相关法律法规相继出台，对企业数据安全建设提出了要求，数据安全认证可帮助企业满足相关法律法规要求，落实责任义务。

政策扶持：随着相关法律法规完善，各地区政府鼓励当地企业组织建立数据安全合规体系，并提供 政策扶持。

宣传推广：组织通过数据安全认证，结合数据安全体系建设的经验，可形成行业zuijia实践，扩大行业zhiming度，带动行业发展。

核心竞争力：通过数据安全认证的企业，可作为高度受信的数据拥有方及数据服务提供方，提升自身核心竞争力，为企业客户提供安全的数据服务。

05

管理数据安全的意义

近年来，随着信息技术和人类生产生活交汇融合，通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。

中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示，我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年36.2%。

可见，数字经济已成为我国国民经济增长要素的重要一员。

从2015年，国务院发布的《促进大数据发展行动纲要》开始，2018年国务院发布《科学数据管理办法》，2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，2021年3月12日，新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，数据安全政策导向明确，国家数据战略清晰。

关于信息数据的泄露，对于个人而言都不会感到陌生。根据公开报道，2020年全球数据泄露的平均损失成本为1145万美元，2019年数据泄露事件达到7098起，涉及151亿条数据记录，比2018年增幅284%，数据泄漏事件影响大、损失重。

而对于拥有庞大客户信息的企业，信息数据就像是“那摩克利斯之剑”，任何的疏忽造成的信息泄露或是窃取买卖，都会危害到每一个人的利益，甚至对国家安全造成威胁。

DSMM标准也就是在这样一个大背景下孕育而生。企业开始重点关注数据安全问题，也更加重视相关的评估认证工作；

实施DSMM的意义：

1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。

2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。

4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

06

DSMM的架构

DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。

四个安全能力维度:组织建设、制度流程、技术工具、人员能力；

七个安全过程维度：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全，共计30个过程域；

五个安全能力等级：从低到高依次1至5级。

07

DSMM每个级别有什么区别

DSMM等级划分与核心特点如下：

L1非正式执行：执行非正式过程，随机、无序、被动执行安全过程，依赖个人经验，无法复制。

L2计划跟踪：在业务系统级别主动实现了安全过程的计划与执行，但没有形成体系化，可验证过程执行与计划一致，跟踪、控制执行的进展。

L3充分定义：在组织级别实现了安全过程的规范执行，标准过程进行制度化，过程可重复执行，执行结果可核查。

L4量化控制：建立了量化目标，安全过程可度量。

L5持续优化：根据组织的整体目标，不断改进和优化组织能力和安全过程有效性。

08

初次申请DSMM可以申请几级

申请什么级别主要依据企业的实际情况来判断，没有硬性规定初次申请级别的限制。

大部分组织适合申请DSMM2级，

DSMM3级适合具有较高数据安全实践水平的组织申请，

DSMM4级适合在数据安全领域建设水平lingxian的组织申请，

DSMM5级暂不开放申请。

09

DSMM贯标流程

Step1：差距分析——Step2：能力建设——Step3：测量评估。

10

DSMM评价方法和评估方式

DSMM的评价方法主要是评分制，先对每个过程域（PA）的四个能力维度（BP）进行打分，再通过计算平均分、修正分值的方式得到Zui终的PA分值，Zui终得到整体的综合得分。

DSMM评估方式有哪些？

DSMM评估方式主要包括人员访谈、文档审 核、配置检查、工具测试、旁站式验证等方式，具体情况如下：

（1）文档审核：由被评价组织输入与数据安全相关的文档材料（如数据 安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单）、审核小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项。

（2）配置检查：根据被审核方提供的技术材料，登陆相关的系统工具平台，检査配置是否与材料保持一致，对文档审核内容进行核实。

（3）工具测试：利用技术工具对系统工具进行测试，验证是 否符合数据安全成熟度模型特定等级的技术能力要求，也可采信第三方的测试报告。

（4）旁站式验证：审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。

（5）人员访谈：通过访谈的方式与被审核方进行交流、讨论 等活动，获取相关证据，了解有关信息。

11

哪些企业适合申请DSMM

Science & Technology

DSMM标准的适用范围非常广泛，没有行业的限制，对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM，包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。

12

企业需要哪些部门和角色的参与DSMM，做哪些准备工作？

Science & Technology

涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门（业务主管、业务处理）、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。

企业如何开展贯标准备工作？

准备工作分为三个阶段：

（1）差距分析：对照能力等级标准的相关要求，梳理本企业数据管理的相关制度、执行过程文档、数据管理平台和工具的相关资料，进行差距分析，制定建设提升工作计划。

（2）能力建设：健全数据管理组织，完善数据管理制度体系，优化数据管理平台和工具，开展对标自评估。

（3）量化评估：组建评估队伍，提交正式评估申请，开展第三方评估，获取评估结果和提升整改意见。

13

如何核查DSMM证书的有效性和公正性

Science & Technology

可通过国家市场监督管理总局全国认证认可信息公共服务平台http://cx.cnca.cn/CertECloud/index/index/page

查询证书详情，并核查验证证书的有效性。

14

证书维护

Science & Technology

证书有效期为三年，根据现行评估规则不需要每年监督。证书到期前至少提前三个月申请再认证评估。

数据安全合规治理服务是一种为企业和组织提供综合的数据安全管理和合规性治理服务的解决方案。这些服务涵盖了数据安全风险评估、安全策略制定、安全防护和监控、数据合规性检测和治理等多个方面，从而帮助企业和组织更好地管理和保护数据安全，降低数据安全风险，遵守相关的法律法规和标准要求，提升企业和组织的安全和合规性水平。