DSMM標(biāo)準(zhǔn)介紹

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn)，于2019年8月30日發(fā)布，2020年3月1日正式實(shí)施。

DSMM國家標(biāo)準(zhǔn)以組織的數(shù)據(jù)為中心，圍繞數(shù)據(jù)的采集、傳輸、存儲、處理、交換、銷毀全生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)能力維度，按照1-5級成熟度，評價(jià)組織的數(shù)據(jù)安全能力。

近年來，隨著信息技術(shù)和人類生產(chǎn)生活交匯融合，通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種數(shù)據(jù)迅猛增長。為了便于大家可以快速了解DSMM，智達(dá)鑫業(yè)小編給大家將常見的問題做了匯總

DSMM是什么？

DSMM 標(biāo)準(zhǔn)以數(shù)據(jù)為中心，重點(diǎn)圍繞數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面進(jìn)行安全保障。

DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機(jī)構(gòu)的數(shù)據(jù)安全能力，促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評估，也適用于第三方機(jī)構(gòu)對組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力進(jìn)行評估。

本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想，以CMM的通用實(shí)踐來衡量能力成熟度等級，以《要求》中的安全要求為基礎(chǔ)，定義數(shù)據(jù)安全過程域和基本實(shí)踐，指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對應(yīng)的安全要求。

DSMM的基礎(chǔ)申報(bào)條件

具有獨(dú)立企業(yè)法人地位，屬于數(shù)據(jù)擁有方或數(shù)據(jù)方案提供方;

社會信譽(yù)良好，有良好的知識產(chǎn)權(quán)保護(hù)意識，近三年無觸犯國家法律法規(guī)的行為，無經(jīng)營異?；驀?yán)重違法失信行為，無不正當(dāng)競爭行為;

滿足《GB_T 37988-2019 信息安全技術(shù)　數(shù)據(jù)安全能力成熟度模型》相應(yīng)級別要求;

有5人左右參與相關(guān)數(shù)據(jù)安全管理工作的人員。

DSMM的等級劃分有哪些？

DSMM將數(shù)據(jù)管理能力成熟度劃分為五個(gè)等級，自低向高依次為1級:非正式執(zhí)行、2級：計(jì)劃跟蹤、3級：充分定義、4級：量化控制、5級：持續(xù)優(yōu)化，不同等級代表企業(yè)數(shù)據(jù)安全管理和應(yīng)用的成熟度水平不同。

數(shù)據(jù)安全過程維度——數(shù)據(jù)生命周期全過程，包括數(shù)據(jù) 采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、 數(shù)據(jù)銷毀安全，以及通用安全過程。

DSMM過程域能力等級分布情況(樣例)

DSMM每個(gè)級別有什么區(qū)別？

L1非正式執(zhí)行：執(zhí)行非正式過程，隨機(jī)、無序、被動(dòng)執(zhí)行安全過程，依賴個(gè)人經(jīng)驗(yàn)，無法復(fù)制。

L2計(jì)劃跟蹤：在業(yè)務(wù)系統(tǒng)級別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行，但沒有形成體系化，可驗(yàn)證過程執(zhí)行與計(jì)劃一致，跟蹤、控制執(zhí)行的進(jìn)展。

L3充分定義：在組織級別實(shí)現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過程進(jìn)行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。

L4量化控制：建立了量化目標(biāo)，安全過程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。

DSMM的架構(gòu)

DSMM的架構(gòu)由四個(gè)安全能力維度、七個(gè)安全過程維度、五個(gè)安全能力等級構(gòu)成。四個(gè)安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力;

七個(gè)安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計(jì)30個(gè)過程域;

五個(gè)安全能力等級：從低到高依次1至5級。

DSMM適合哪些評估對象？

DSMM是針對企業(yè)數(shù)據(jù)安全管理和應(yīng)用能力的評估框架，從標(biāo)準(zhǔn)本身講，任何企業(yè)都可以申請，目前主要適用于兩類。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險(xiǎn)業(yè)、證券行業(yè)、保險(xiǎn)業(yè)、電子商務(wù)平臺、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開發(fā)/運(yùn)營商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

做DSMM對企業(yè)的價(jià)值

資產(chǎn)保護(hù)：企業(yè)通過數(shù)據(jù)安全認(rèn)證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及 管理措施，提高企業(yè)數(shù)據(jù)安全保護(hù)意識，保障企業(yè)數(shù)據(jù)資產(chǎn)安全。

風(fēng)險(xiǎn)防控：數(shù)據(jù)安全能力體系的建設(shè)的不僅擁有應(yīng)對數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)生時(shí)的防護(hù)能力，更能從源頭對風(fēng)險(xiǎn)進(jìn)行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

合規(guī)要求:《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等相關(guān) 法律法規(guī)相繼出臺，對企業(yè)數(shù)據(jù)安全建設(shè)提出了要求，數(shù)據(jù)安全認(rèn)證可幫助企業(yè)滿足相關(guān)法律法規(guī)要求，落實(shí)責(zé)任義務(wù)。

政策扶持：隨著相關(guān)法律法規(guī)完善，各地區(qū)政府鼓勵(lì)當(dāng)?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供 政策扶持。

宣傳推廣：組織通過數(shù)據(jù)安全認(rèn)證，結(jié)合數(shù)據(jù)安全體系建設(shè)的經(jīng)驗(yàn)，可形成行業(yè)最佳實(shí)踐，擴(kuò)大行業(yè)知名度，帶動(dòng)行業(yè)發(fā)展。

核心競爭力：通過數(shù)據(jù)安全認(rèn)證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務(wù)提供方，提升自身核心競爭力，為企業(yè)客戶提供安全的數(shù)據(jù)服務(wù)。

幫助指導(dǎo)組織機(jī)構(gòu)發(fā)現(xiàn)數(shù)據(jù)安全能力短板;提升組織機(jī)構(gòu)的數(shù)據(jù)安全管理能力;增加企業(yè)數(shù)據(jù)安全的意識。

DSMM評估流程

DSMM評估方式有哪些？

DSMM評估方式主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗(yàn)證等方式，具體情況如下：

（1）文檔審核：由被評價(jià)組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄 和其他配套表單)、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)。

（2）配置檢查：根據(jù)被審核方提供的技術(shù)材料，登陸相關(guān)的系統(tǒng)工具 平臺，檢査配置是否與材料保持一致，對文檔審核內(nèi)容進(jìn)行核實(shí)。

（3）工具測試：利用技術(shù)工具對系統(tǒng)工具進(jìn)行測試，驗(yàn)證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術(shù) 能力要求，也可采信第三方的測試報(bào)告。

（4）旁站式驗(yàn)證：審核人員在現(xiàn)場通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識、業(yè)務(wù)操作、管理程序等方面的安全情況。

（5）人員訪談：通過訪談的方式與被審核方進(jìn)行交流、討論 等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。

評估內(nèi)容

DSMM評估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期，對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評估，涵蓋5個(gè)成熟度級別、30個(gè)數(shù)據(jù)安全能力過程域和576個(gè)基本實(shí)踐。

DSMM證書樣本

全國DSMM公共服務(wù)平臺(證書查詢）

全國DSMM公共服務(wù)平臺(dsmm.org.cn)匯集行業(yè)最新動(dòng)態(tài)、知識成果，服務(wù)于行業(yè)數(shù)據(jù)安全能力的提升。該平臺按照DSMM評估標(biāo)準(zhǔn)流程實(shí)現(xiàn)了DSMM評估管理的電子化，包括企業(yè)信息管理、評估項(xiàng)目管理、證書管理等功能模塊。通過該平臺，一方面企業(yè)可通過評估項(xiàng)目管理模塊提交評估申請流程，經(jīng)審核通過之后可查詢當(dāng)前評估所處的環(huán)節(jié);另一方面企業(yè)可通過企業(yè)信息管理模塊查詢企業(yè)信息，同時(shí)在通過評估之后可進(jìn)行企業(yè)證書的查詢。

DSMM部分地區(qū)政策補(bǔ)貼詳情

天津市DSMM補(bǔ)貼

對首次通過國家《數(shù)據(jù)安全能力成熟度模型》(GB/T 37988—2019.DSMM)、《數(shù)據(jù)管理能力成熟度評估模型》(GB/T 36073—2018.DCMM)認(rèn)證的企業(yè)，分別給予最高50萬元支持。(責(zé)任單位：市委網(wǎng)信辦、市工業(yè)和信息化局、市財(cái)政局、各區(qū)人民政府)

貴陽市DSMM補(bǔ)貼

支持企業(yè)提升管理能力。對首次通過軟件能力成熟度模型集成(CMMI)3級及以上、數(shù)據(jù)管理能力成熟度評估模型(DCMM)2級及以上、數(shù)據(jù)安全能力成熟度模型(DSMM)2級及以上認(rèn)證，且證書在有效期內(nèi)的企業(yè)，CMMI認(rèn)證按3級、4級、5級分別給予一次性10萬元、20萬元、30萬元資金支持;DCMM認(rèn)證按2級、3級、4級及以上分別給予一次性10萬元、20萬元、30萬元資金支持;DSMM2級及以上認(rèn)證給予一次性30萬元資金支持。

清鎮(zhèn)市DSMM補(bǔ)貼

對首次通過軟件能力成熟度評估模型集成(CMMI)3 級及以上、數(shù)據(jù)管理能力成熟度評估模型(DCMM)2 級及以上、數(shù)據(jù)安全能力成熟度模型(DSMM)2 級及以上認(rèn)證，且證書在有效期的企業(yè)，CMMI 認(rèn)證按 3 級、4 級、5 級分別給予一次性 5 萬元、10 萬元、15 萬元資金支持;DCMM 認(rèn)證按 2 級、3級、4 級及以上分別給予一次性 5 萬元、10 萬元、15 萬元資金支持;DSMM2 級以上認(rèn)證給予一次性 15 萬元資金支持。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.rumin8raps.com/zs/202303/ccaa_48227.html