在數字經濟時代,數據已成為關鍵生產要素,數據安全也成為關乎企業生存發展的重要議題。加強數據安全管理,提升數據安全能力,成為企業面臨的共同挑戰。數據安全能力成熟度模型(DSMM)應運而生,為企業數據安全建設提供了科學指引和評估依據。
一、DSMM數據安全能力成熟度模型概述
《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱“DSMM”)是由阿里巴巴聯合中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心等業內權威機構聯合編寫的國家標準,于2019年8月30日發布,2020年3月1日正式實施。
DSMM借鑒了國際上成熟度模型的理論和實踐,結合我國數據安全現狀和需求,構建了一套科學、系統、可操作的數據安全能力評估體系。
DSMM將組織的數據安全能力劃分為5個等級,1級低,5級高,目前5級還沒開放,一般企業初次申請是從2級開始,如果企業條件不錯,比如已經通過ISO/IED27001也可以申請3級。有效期3年,每年監督審核。
DSMM認證以數據為核心,圍繞數據的全生命周期,從組織建設、制度流程、技術工具、人員能力等多個維度,全面評估企業的數據安全能力,并幫助企業識別數據安全短板,制定針對性的改進計劃。幫助企業識別數據安全短板,明確改進方向,持續提升數據安全防護水平。
圖片來源:GBT 37988-2019 信息安全技術 數據安全能力成熟度模型
二、DSMM誰能做?——誰需要這把數據安全的“金鑰匙”?
DSMM適用于所有涉及數據處理活動的組織,包括但不限于:
DSMM標準的適用范圍非常廣泛,沒有行業的限制,對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM,申請條件如下:
這些條件確保了申請組織在數據安全方面具有一定的基本能力和管理體系,滿足上述條件,即可申請DSMM認證。
看到這些條件,可能還有疑問不知道做哪個級別?簡單點說,2級沒什么要求,基本都能申請。3級企業有80個左右的社保人員,也可以申請3級。
三、DSMM怎么做?——從評估到認證,步步為營構建數據安全防線
DSMM評估以組織為單位,以數據為中心,圍繞數據的生命周期,對組織建設、制度流程、技術工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數據安全能力過程域和576個基本實踐(BP)。
DSMM評估認證流程通常分為三個階段,分為前期咨詢,內部評估,現場評估認證。
(1) 前期咨詢:明確目標,制定方案
需求調研:評估機構深入了解企業業務特點、數據安全現狀和評估目標。
方案制定:根據調研結果,制定個性化的DSMM評估認證方案,明確評估范圍、時間計劃、資源配置等。
標準宣貫:對企業相關人員進行DSMM標準培訓,提升對標準的理解和應用能力。
(2) 內部評估:自查自糾,夯實基礎
差距分析:企業根據DSMM標準進行自評估,識別數據安全管理現狀與目標等級的差距。
能力建設:針對差距分析結果,制定并實施整改計劃,完善數據安全管理體系,提升數據安全能力。
文檔準備:整理完善數據安全管理制度、流程、記錄等文檔,為正式評估做好準備。
(3) 評估認證:專家把脈,權威認證
現場評估:評估機構專家團隊進駐企業,通過訪談、查閱文檔、系統測試等方式進行現場評估。
評估報告:根據現場評估結果,形成評估報告,明確企業數據安全能力等級和改進建議。
認證決定:評估機構根據評估報告做出認證決定,并頒發DSMM認證證書。
現場DSMM評估方式和ISO其他管理體系類似,主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗證等方式,具體情況如下:
(1)文檔審核:由被評價組織輸入與數據安全相關的文檔材料(如數據 安全的方針政策、制度規范流程、培訓教育材料、以及 與產品技術相關的設計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數據生存周期的PA和控制項。
(2)配置檢查:根據被審核方提供的技術材料,登陸相關的系統工具 平臺,檢査配置是否與材料保持一致,對文檔審核內容進行核實。
(3)工具測試:利用技術工具對系統工具進行測試,驗證是 否符合數據安全成熟度模型特定等級的技術 能力要求,也可采信第三方的測試報告。
(4)旁站式驗證:審核人員在現場通過實地觀察人員行為、技術設施和環境狀況判斷人員的安全 意識、業務操作、管理程序等方面的安全情況。
(5)人員訪談:通過訪談的方式與被審核方進行交流、討論 等活動,獲取相關證據,了解有關信息。
四、DSMM和DCMM的區別?
數據管理能力成熟度(DCMM)
DCMM是國家標準《數據管理能力成熟度評估模型GB/T36073-2018》(Data management Capability Maturity Model)的英文簡稱,DCMM是我國在數據管理領域首個正式發布的國家標準,旨在幫助企業利用先進的數據管理理念和方法,建立和評價自身數據管理能力,持續完善數據管理組織、程序和制度,充分發揮數據在促進企業向信息化、數字化、智能化發展方面的價值。
DCMM適用于數據擁有方:如金融與保險機構、互聯網企業、電信運營商、工業企業、數據中心所屬主體、高校、政務數據中心等
數據安全能力成熟度(DSMM)
DSMM標準能夠用來衡量一個組織的數據安全能力成熟度水平,可以幫助行業、企業和組織發現數據安全能力短板,相關主管部門也可以用于數據安全管理,根據數據安全能力水平高低決定企業擁有數據的類型和范圍,最終提升全社會的數據安全水平和行業競爭力,確保大數據產業及數字經濟的發展。
DSMM標準的適用范圍非常廣泛,沒有行業的限制,對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM,包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
