1、DSMM简介
DSMM是DataSecurity capability MaturityModel的缩写,中文名为数据安全能力成熟度模型。是以2019-08-30发布,2020-03-01 实施的GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。
DCMM 模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据治理、数据标准和数据生存周期八个核心能力域和28个能力项。国家先于企业和机构更早意识到数据的价值和数据安全的重要性,通过政策或立法的方式,给企业和个人进行规范和要求,逐渐培养人们的数据安全意识。
2、DSMM评估依据
DSMM评估依据2020年正式实施的《GB∕T 37988-2019 信息安全技术数据安全能力成熟度模型》标准(简称DSMM),是目前推荐国标中比较全的数据安全成熟度参照标准,定义了各个成熟度,针对不同规模的企业或组织,都提出不同等级的要求,并提出该怎么做去落实。同时2022年推出了《GB/T41479—2022网络数据处理安全要求》,更偏重于数据合规的要求,并没有明确要求该怎么做。
法律:
2016年实施的《中华人民共和国网络安全法》;
2021年实施的《中华人民共和国数据安全法》;
2021年实施的《中华人民共和国个人信息保护法》。
国标:
《GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型》
《GB∕T 35273-2020 信息安全技术 个人信息安全规范》
《GB∕T 41479-2022 信息安全技术 网络数据处理安全要求》
《GB∕T 35274-2017 信息安全技术 大数据服务安全能力要求》
《GB∕T 37973-2019 信息安全技术 大数据安全管理指南》
行标:
《JR∕T 0223-2021 金融数据安全 数据生命周期安 全规范》
《JR∕T 0171-2020 个人金融信息保护技术规范》
《JR∕T 0185-2020 商业银行应用程序接口安全管理规范》
《JR∕T 0071-2020 金融行业网络安全等级保护实施指引》
3、DSMM对企业的价值
① 资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
② 风险防控:数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
③ 合规要求:《数据安全法》《个人信息保护法》等相关法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。
④ 政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供政策扶持。
⑤ 宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业zuijia实践,扩大行业zhiming度,带动行业发展。
⑥ 核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
4、DSMM等级划分
DSMM等级划分与核心特点如下:
L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。
L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
L4量化控制:建立了量化目标,安全过程可度量。
L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。
5、DSMM体系包含哪些内容
DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。四个4个安全能力维度:组织建设、制度流程、技术工具、人员能力;
7个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
5个安全能力等级:从低到高依次1至5级。
6、DSMM适合哪些企业
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
7、DSMM认证流程
主要分为调研分析->能力建设->评估认证三个阶段
评估与认证的差异性
评估:不强调活动主体的第三方属性,主体一般也不需要经过专门审批,评估依据往往也不严格指定 ,相比认证,一般而言评估结果的独立性、“背书”性质低于认证,但形式灵活,在技术上有时候是Zui深入的。往往可以结合多个标准依据进行。
认证:由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。其实质是一种标准符合性验证(即按照标准,逐项核对),认证具备独立性,且都由quanwei机构作出。
认证流程:
整改之后开展第三方认证审核,第三方的认证审核通常是分为4 个步骤:
①准备被认证申请材料,由客户方盖章之后寄给认证单位,认证单位首先对收到的认证申请材料进行审核,主要了解受审方的业务现状、系统现状和数据现状,这个也为了他们来进行认证审核圈定Zui初的认证范围,了解受审方的一个具体的情况,为后面正式开展工作做准备。
②开展第一阶段的现场审核,召开首次会议,介绍审核的原则,整个审核的要求以及审核的计划,这在这一阶段也是要以评估的方式通过调研、系统查验、文件查验开展审核,这次会出一个初步的审核结论和建议。
③根据审核建议,测评机构给客户方提出相应的整改要求,整改完之后测评机构会开展第二阶段的审核,对整改的完成情况进行审核。
④ 审核完之后就是认证发布。