一文带你了解数据安全能力成熟度模型（DSMM）认证

随着我国经济与科技水平的进步，数据已成为驱动各行各业创新发展的重要资源之一。在国家大力推广数据战略的形势下，数据安全相关法律相继出台。其中，我国数据安全领域的首部专门律法《数据安全法》中提到：国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

一、DSMM是什么

《信息安全技术—数据安全能力成熟度模型》（GB/T 37988-2019）是2020年3月1日实施的一项中华人民共和国国家标准，归口于全国信息安全标准化技术委员会。 

《信息安全技术—数据安全能力成熟度模型》（GB/T 37988-2019）给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

二、实施DSMM的意义

1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。

2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。
4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

三、DSMM对企业的价值

资产保护：企业通过数据安全认证可建立完善数据安全体系，制定全面合理的数据安全制度流程及 管理措施，提高企业数据安全保护意识，保障企业数据资产安全。

风险防控：数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力，更能从源头对风险进行防控，降低数据安全事故发生的概率。

合规要求:《数据安全法》《个人信息保护法》等相关 法律法规相继出台，对企业数据安全建设提出了要求，数据安全认证可帮助企业满足相关法律法规要求，落实责任义务。

政策扶持：随着相关法律法规完善，各地区政府鼓励当地企业组织建立数据安全合规体系，并提供 政策扶持。

宣传推广：组织通过数据安全认证，结合数据安全体系建设的经验，可形成行业最佳实践，扩大行业知名度，带动行业发展。

核心竞争力：通过数据安全认证的企业，可作为高度受信的数据拥有方及数据服务提供方，提升自身核心竞争力，为企业客户提供安全的数据服务。

四、DSMM的架构

DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。

四个安全能力维度:组织建设、制度流程、技术工具、人员能力；

七个安全过程维度：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全，共计30个过程域；

五个安全能力等级：从低到高依次1至5级。

1级（非正式执行）主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2级（计划跟踪）主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。规划执行，对数据安全过程进行规划，提前分配资源和责任；规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

3级（充分定义）主要特点：在组织级别实现了安全过程的规范定义和执行。定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

4级（量化控制）主要特点：建立了量化目标，安全过程可量化度量和预测。建立可测的目标，为组织数据安全建立可测量的目标；客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5级（持续优化）主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。

五、DSMM评估内容

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

1）维度一：安全能力（4个关键能力）安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力。

2）维度二：能力成熟度等级（5级）共分为5级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

3）维度三：数据安全过程（6+1）具体包括：数据生存周期安全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程。

六、DSMM贯标咨询流程

01贯标申请

02贯标启动

03标准宣贯

04差距分析

05能力建设

06试运行

07自评估

08第三方评估

09发放证书