01認(rèn)證背景

隨著我國經(jīng)濟(jì)與科技水平的不斷進(jìn)步，數(shù)據(jù)已成為各行各業(yè)驅(qū)動(dòng)創(chuàng)新發(fā)展的重要資源之一。在國家強(qiáng)化數(shù)據(jù)戰(zhàn)略的大形勢下，《中華人民共和國數(shù)據(jù)安全法》（以下簡稱“《數(shù)據(jù)安全法》”）于2021年9月1日起正式施行。作為我國數(shù)據(jù)安全領(lǐng)域的首部專門律法，《數(shù)據(jù)安全法》明確了各地區(qū)部門在數(shù)據(jù)安全方面的職責(zé)與分工，同時(shí)鼓勵(lì)認(rèn)證測評專業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全相關(guān)檢測評估、認(rèn)證等服務(wù)工作，協(xié)助各行各業(yè)落實(shí)數(shù)據(jù)安全責(zé)任和義務(wù)。中共中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、工業(yè)和信息化部、中國人民銀行也陸續(xù)出臺(tái)了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》等相關(guān)政策文件和行業(yè)標(biāo)準(zhǔn)，為加速推動(dòng)《數(shù)據(jù)安全法》的落實(shí),提出《DSMM數(shù)據(jù)安全能力成熟度模型》

02名詞解釋

數(shù)據(jù)安全能力成熟度模型（Data Security Capability Maturity Mode，簡稱DSMM）是阿里巴巴和中國電子技術(shù)標(biāo)準(zhǔn)化研究院在大量實(shí)踐和研究的基礎(chǔ)上，聯(lián)合三十多家企事業(yè)單位共同研究制定的。國家標(biāo)準(zhǔn)委于2019年8月30日正式發(fā)布了《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）。

DSMM標(biāo)準(zhǔn)能夠用來衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。

03架構(gòu)

數(shù)據(jù)安全能力成熟度模型架構(gòu)主要有三個(gè)方面∶

1.五個(gè)等級包括∶非正式執(zhí)行級、計(jì)劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個(gè)三維立體模型，全方面對數(shù)據(jù)安全進(jìn)行能力建設(shè)。

2.四大安全能力維度包括∶組織建設(shè)、制度流程、技術(shù)工具、人員能力；

3.七大數(shù)據(jù)安全過程維度包括∶數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全）；

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況，定義數(shù)據(jù)生命周期的6個(gè)階段，具體各階段的定義如下∶

1.數(shù)據(jù)采集∶指在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。

2.數(shù)據(jù)傳輸∶指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。

3.數(shù)據(jù)存儲(chǔ)∶指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。

4.數(shù)據(jù)處理∶指組織機(jī)構(gòu)在內(nèi)部針對數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。

5.數(shù)據(jù)交換∶指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段。

6.數(shù)據(jù)銷毀∶指通過對數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。

04評估內(nèi)容

DSMM評估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期，對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評估，涵蓋5個(gè)成熟度級別、30個(gè)數(shù)據(jù)安全能力過程域和576個(gè)基本實(shí)踐。

1）維度一：安全能力（4個(gè)關(guān)鍵能力）安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力，包括：組織建設(shè)、制度流程、技術(shù)工具和人員能力。

2）維度二：能力成熟度等級（5級）共分為5級，具體包括：1級是非正式執(zhí)行級，2級是計(jì)劃跟蹤級，3級是充分定義級，4級是量化控制級，5級是持續(xù)優(yōu)化級。

3）維度三：數(shù)據(jù)安全過程（6+1）具體包括：數(shù)據(jù)生存周期安全過程（數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全）和通用安全過程。

05適合群體

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運(yùn)營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

06貫標(biāo)價(jià)值

1、促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作。

2、保障數(shù)據(jù)在組織機(jī)構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價(jià)值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。

3、衡量組織的數(shù)據(jù)安全能力成熟度水平，幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板。

4、相關(guān)主管部門可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍。

5、提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。

07證書級別

DSMM評估的目標(biāo)是幫助各企業(yè)和組織基于國家標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力，幫助企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，提升企業(yè)組織的數(shù)據(jù)安全能力，促進(jìn)大數(shù)據(jù)在組織間的交換、共享與流轉(zhuǎn)，發(fā)揮大數(shù)據(jù)的價(jià)值。DSMM將數(shù)據(jù)安全能力劃分為五個(gè)等級，級別越高，代表該企業(yè)數(shù)據(jù)安全能力管理方面越優(yōu)秀;級別自低向高依次為:1級-非正式執(zhí)行、2級-計(jì)劃跟蹤、3級-充分定義、4級-量化控制、5級-持續(xù)優(yōu)化。證書自頒發(fā)之日起有效期3年

08評估流程

09證書模板