张敏
点击图片查看原图
国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),简称“DSMM”,DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个安全能力维度进行评估,涵盖5个等级、7个数据安全过程维度。5个级别,级别越高,代表该企业数据安全能力管理方面越优秀;级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。
DSMM概述
DSMM的评估内容和方式是什么?
DSMM标准将数据安全过程分为数据生存周期安全过程和通用安全过程,覆盖数据从采集、传输、存储、处理、交换到销毁的全生命周期,以及规划、组织、人员、网络安全与基础设施等通用安全管理要求,共有30个评估过程域,并以此为抓手,为企业提供全面的数据安全能力分析和改进建议。企业可以根据评估结果,有针对性地优化数据安全管理流程和措施,提升整体安全水平。
数据安全过程域体系
DSMM的评价方法主要是评分制,先对每个过程域的四个能力维度进行打分,再通过计算平均分、修正分值的方式,最终得到整体的综合得分。
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM。
DSMM评估的目标是帮助各企业和组织基于国家标准来评估其数据安全能力,帮助企业和组织发现数据安全能力短板,提升企业组织的数据安全能力,促进数据在组织间的交换、共享与流转,发挥大数据的价值。
DSMM贯标工作可为组织在不同阶段开展数据保护建设提供分级别的实践指南,促进组织机构了解并提升自身的数据安全水平,推动组织更好地开展数据安全保障工作,保障数据在组织机构之间安全地交换与共享,打造更安全的大数据应用环境。
DSMM评估认证的等级如何确定?
DSMM评估认证需要企业或组织首先确定本次提交认证且展示在证书上的数据处理活动,并根据该数据处理活动的安全情况开展管理能力与等级的初步判断。
申请的等级认定主要依据企业的实际情况来判断,无硬性规定。大部分组织适合申请DSMM 2级,DSMM 3级适合具有较高数据安全实践水平的组织申请,DSMM 4级适合在数据安全领域建设水平领先的组织申请,DSMM 5级暂不开放申请。
DSMM评估的结果及交付物是什么?
DSMM评估结束后,评估机构会交付给被评估单位一份评估报告,用于帮助企业展示数据安全能力现状,识别数据安全能力相关问题,包括评估结论、详细评估结果和阶段性安全提升建议等,并给出评估等级建议。评估报告通过专家评审、确定对应数据安全能力成熟度等级后,发证机构会向被评估单位颁发DSMM证书。
DSMM评估过程需要哪些部门和角色参与?
申请DSMM评估通常涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。
在申请DSMM评估前还可以做哪些“加分”准备?
企业或组织在申请DSMM评估前可以通过第三方认证咨询机构开展专业和定制化的评估咨询工作,查缺补漏,提升自身数据安全能力,以顺利完成等级评估目标。
DSMM价值作用
● 促进组织机构了解并提升自身的数据安全水平,从数据生命周期的角度出发,结合各类数据业务发展所体现的安全需求开展数据安全保障工作;
● 保障数据在组织机构之间安全地交换与共享,充分发挥数据的价值,打造更安全的大数据应用环境;
● 衡量组织的数据安全能力成熟度水平,帮助行业、企业和组织发现数据安全能力短板;
● 相关主管部门可以用于数据安全管理,根据数据安全能力水平高低决定企业拥有数据的类型和范围;
● 提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。
什么样的企业更适合申请DSMM贯标认证?
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。证书自颁发之日起有效期3年。