國家標準《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)，簡稱“DSMM”，DSMM評估以組織為單位，以數據為中心，圍繞數據的生命周期，對組織建設、制度流程、技術工具以及人員能力4個安全能力維度進行評估，涵蓋5個等級、7個數據安全過程維度。5個級別，級別越高，代表該企業數據安全能力管理方面越優秀；級別自低向高依次為：1級-非正式執行、2級-計劃跟蹤、3級-充分定義、4級-量化控制、5級-持續優化。

DSMM概述

DSMM的評估內容和方式是什么？

DSMM標準將數據安全過程分為數據生存周期安全過程和通用安全過程，覆蓋數據從采集、傳輸、存儲、處理、交換到銷毀的全生命周期，以及規劃、組織、人員、網絡安全與基礎設施等通用安全管理要求，共有30個評估過程域，并以此為抓手，為企業提供全面的數據安全能力分析和改進建議。企業可以根據評估結果，有針對性地優化數據安全管理流程和措施，提升整體安全水平。

數據安全過程域體系

DSMM的評價方法主要是評分制，先對每個過程域的四個能力維度進行打分，再通過計算平均分、修正分值的方式，最終得到整體的綜合得分。

DSMM標準的適用范圍非常廣泛，沒有行業的限制，對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM。

DSMM評估的目標是幫助各企業和組織基于國家標準來評估其數據安全能力，幫助企業和組織發現數據安全能力短板，提升企業組織的數據安全能力，促進數據在組織間的交換、共享與流轉，發揮大數據的價值。

DSMM貫標工作可為組織在不同階段開展數據保護建設提供分級別的實踐指南，促進組織機構了解并提升自身的數據安全水平，推動組織更好地開展數據安全保障工作，保障數據在組織機構之間安全地交換與共享，打造更安全的大數據應用環境。

DSMM評估認證的等級如何確定？

DSMM評估認證需要企業或組織首先確定本次提交認證且展示在證書上的數據處理活動，并根據該數據處理活動的安全情況開展管理能力與等級的初步判斷。

申請的等級認定主要依據企業的實際情況來判斷，無硬性規定。大部分組織適合申請DSMM 2級，DSMM 3級適合具有較高數據安全實踐水平的組織申請，DSMM 4級適合在數據安全領域建設水平領先的組織申請，DSMM 5級暫不開放申請。

DSMM評估的結果及交付物是什么？

DSMM評估結束后，評估機構會交付給被評估單位一份評估報告，用于幫助企業展示數據安全能力現狀，識別數據安全能力相關問題，包括評估結論、詳細評估結果和階段性安全提升建議等，并給出評估等級建議。評估報告通過專家評審、確定對應數據安全能力成熟度等級后，發證機構會向被評估單位頒發DSMM證書。

DSMM評估過程需要哪些部門和角色參與？

申請DSMM評估通常涉及到的相關部門主要有數據安全管理部門、信息安全部門、信息科技部門、數據管理部門、業務條線部門（業務主管、業務處理）、風險管理部門、法務部門、人力資源部門、內控合規部門、審計部門等。

在申請DSMM評估前還可以做哪些“加分”準備？

企業或組織在申請DSMM評估前可以通過第三方認證咨詢機構開展專業和定制化的評估咨詢工作，查缺補漏，提升自身數據安全能力，以順利完成等級評估目標。

DSMM價值作用

● 促進組織機構了解并提升自身的數據安全水平，從數據生命周期的角度出發，結合各類數據業務發展所體現的安全需求開展數據安全保障工作；

● 保障數據在組織機構之間安全地交換與共享，充分發揮數據的價值，打造更安全的大數據應用環境；

● 衡量組織的數據安全能力成熟度水平，幫助行業、企業和組織發現數據安全能力短板；

● 相關主管部門可以用于數據安全管理，根據數據安全能力水平高低決定企業擁有數據的類型和范圍；

● 提升全社會的數據安全水平和行業競爭力，確保大數據產業及數字經濟的發展。

什么樣的企業更適合申請DSMM貫標認證？

DSMM標準的適用范圍非常廣泛，沒有行業的限制，對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM，包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。證書自頒發之日起有效期3年。