DSMM是什么？

《信息安全技術數據安全能力成熟度模型》(GB/T 37988-2019) (以下簡稱“DSMM”）是由阿里巴巴聯合中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心等業內權威機構聯合編寫的國家標準，于2019年8月30日發布，2020年3月1日正式實施。

DSMM與其他資質區別

ISO27001是信息安全管理體系。ISO27001標準是以組織為對象，偏向信息安全管理，側重于指導組織依據信息安全風險評估的結果選擇合適的控制措施，設計構建信息安全管理體系。

DSMM是Data Security capability MaturityModel的縮寫，中文名為數據安全能力成熟度模型。是以2019-08-30 發布，2020-03-01 實施的GB/T 37988-2019 《信息安全技術數據安全能力成熟度模型》為依據的數據安全保護體系。DSMM標準也是以組織為評估對象，聚焦數據全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業務貼合緊密的數據安全架構。

DCMM即《數據管理能力成熟度評估模型》，是我國在數據管理領域首個正式發布的國家標準。DCMM標準以組織為評估對象，DCMM數據管理能力成熟度評估模型定義了數據戰略、數據治理、數據架構、數據應用、數據安全、數據質量、數據標準和數據生存周期八個核心能力域及28個能力項，并以組織、制度、流程和技術作為八個核心域評價維度。幫助企業利用先進的數據管理理念和方法，建立和評價自身數據管理能力，持續完善數據管理組織、程序和制度，充分發揮數據在促進企業向信息化、數字化、智能化發展方面的價值。

DSMM的意義與價值？

理清企業數據安全現狀，發現企業和組織的數據安全能力短板。

帶來差異化競爭力：數據安全能力成熟度的認證能向企業的客戶及合作伙伴表明組織保障數據安全的能力，令其對組織的信心加強，有助于增加組織在同行業內的競爭優勢，穩固市場地位。

減少可能的損失：數據安全能力的提升，能在一定程度上降低數據安全事件給組織帶來的不良聲譽影響和可能的經濟損失。增強員工的意識和相關技能：提升組織數據安全管理人員的技能，增強全體員工的數據安全意識。

確保已建立的數據安全保障體系有效運轉和持續提升，從而整體上提升企業的數據安全水平。

從數據的安全保護、合規使用到數據的開發利用，數據安全能力成熟度的認證和持續監督審核是組織數據安全的體檢措施，能為數據生產要素價值的實現打好基礎。

DSMM的架構與內容

DSMM評估以組織為單位，以數據為中心，圍繞數據的生命周期,對組織建設、制度流程、技術工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數據安全能力過程域和576個基本實踐。DSMM的架構由以下三個維度構成：

（1）安全能力維度：安全能力維度明確了組織在數據安全領域應具備的能力.包括組織建設、制度流程、技術工具和人員能力。

（2）能力成熟度等級維度：組織的數據安全能力成熟度等級劃分為五級，具體包括：1級（非正式執行級），2級（計劃跟蹤級），3 級（充分定義級），4級（量化控制級），5級（持續優化級）。

（3）數據安全過程維度：數據安全過程包括數據生存周期安全過程和通用安全過程；數據生存周期安全過程具體包括：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全6個階段。

⑤DSMM每個等級區別

1級（非正式執行）主要特點：數據安全工作是隨機、無序、被動執行的，依賴與個人，經驗無法復制。組織在數據安全領域未執行有效的相關工作，僅在部分場景或項目的臨時需求執行相關工作，未形成成熟的機制，來保障數據安全相關工作的持續開展。

2級（計劃跟蹤）主要特點：在項目級別主動實現了安全過程的計劃與執行，沒有形成體系化。規劃執行，對數據安全過程進行規劃，提前分配資源和責任；規范化執行，對安全過程進行控制，使用安全執行計劃，執行相關標準和程序的過程，對數據安全過程實施配置管理；驗證執行，確認過程按照預定的方式執行，驗證執行過程與可應用的計劃是一致的，對數據安全過程進行審計；跟蹤執行，控制數據安全項目的進展，通過可測量的計劃跟蹤過程執行，當過程實踐與計劃產生重大的偏離時采取修正行動。

3級（充分定義）主要特點：在組織級別實現了安全過程的規范定義和執行。定義標準過程，組織對標準過程進行制度化，形成標準化過程文檔，為滿足特定用途對標準過程進行裁剪；執行已定義的過程，充分定義的過程可重復執行，針對有缺陷的過程結果和安全實踐的核查，使用過程執行的結果數據；協調安全實踐，對業務系統和組織的協調，確定業務系統內，各業務系統之間、組織外部活動的協調機制。

4級（量化控制）主要特點：建立了量化目標，安全過程可量化度量和預測。建立可測的目標，為組織數據安全建立可測量的目標；客觀的管理執行，確定過程能力的量化測量來管理安全過程，以量化測量作為修正行動的基礎。

5級（持續優化）主要特點：根據組織的整理戰略和目標，不斷改進和優化數據安全過程。改進組織能力，在整個組織范圍內的標準過程使用情況進行比較，尋找改進標準過程的機會，分析對標準過程的可能變更。改進過程有效性，制定處于連續受控改進狀態下的標準過程，提出消除標準過程產生缺陷的原因和持續改進的標準過程。

初次申請DSMM可以申請什么級別？

申請什么認證的級別主要依據企業的實際情況來判斷，沒有強制硬性規定初次申請級別的限制。大部分組織都適合申請DSMM2級認證，DSMM3級適合具有較高數據安全實踐水平的組織申請。DSMM4級適合在數據安全領域建設水平領先的組織申請。最高級DSMM5級目前暫不開放申請。

⑦DSMM貫標咨詢流程

第一步：差距分析（1個月），第二步：能力建設（3個月），第三步：測量評估（1個月）

【評估關鍵要素】

哪些企業適合申請DSMM

DSMM標準的適用范圍非常廣泛，沒有行業的限制，對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM，包括但不限于：

數據擁有方:大數據企業、信息技術產業、互聯網企業、金融業、銀行業、保險業、證券行業、電子商務平臺、數據中心、政務和高校等企事業單位。

數據方案提供方:數據開發/運營商、信息系統建設和服務提供商、信息技術服務提供商等。

申請DSMM哪些部門要核心參與？

1）管理層：高層管理層，主要了解目前這個公司有沒有相應的數據安全策略和方針，以及對組織設置的建議，涉及到后面的組織能力建設工作以及數據安全戰略規劃有沒有相應的預算。如果這個公司本身是把數據安全劃到 IT 安全和信息安全和網絡安全里面，是很小的一塊，推數據安全的能力建設就會有比較大的阻力，因為不是他目前的一個重要重點工作。

2）研發部門：主要需了解系統業務定位、系統架構、業務數據范圍及數據采集、傳輸、處理、交換過程中的數據安全保護建設情況等內容。以及要了解重要的業務和系統，在整個生命周期什么位置，比如說它是屬于采集環節，還是屬于數據處理環節？然后對重要的系統，要了解系統主要的用戶，用戶的規模大概多少，數據的模型架構，內部數據的流轉情況，以及它與外部系統的之間的數據關系；要了解業務數據的流轉過程，包括在采集環節，采集的方式、渠道范圍，合規性的控制。數據在傳輸環節要備份恢復，能夠傳輸加密。數據處理環節就要了解這個系統數據處理和數據分析的功能有哪些？有沒有一些脫敏的場景和脫敏的規則，以及數據后臺的數據管理是怎么運作的？它的功能有哪些？

3）運維部門：需要了解網絡架構、安全要求、安全技術工具及數據存儲、數據銷毀過程、數據安全保護建設情況等內容。