随着我国经济与科技水平的进步,数据已成为驱动各行各业创新发展的重要资源之一。在国家大力推广数据战略的形势下,数据安全相关法律相继出台。其中,我国数据安全领域的首部专门律法《数据安全法》中提到:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
01、DSMM是什么
DSMM
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)是2020年3月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
02、实施DSMM的意义
工作总结与分析
1、理清组织数据安全现状,发现组织的数据安全能力短板。
2、带来差异化竞争力:数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力,令其对组织的信心加强,有助于增加组织在同行业内的竞争优势,稳固市场地位。
3、减少可能的损失:数据安全能力的提升,能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能:提升组织数据安全管理人员的技能,增强全体员工的数据安全意识。
4、确保已建立的数据安全保障体系有效运转和持续提升,从而整体上提升企业的数据安全水平。
5、从数据的安全保护、合规使用到数据的开发利用,数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施,能为数据生产要素价值的实现打好基础。
03、DSMM对企业的价值
资产保护
企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
风险防控
数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
合规要求
《数据安全法》《个人信息保护法》等相关法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。
政策扶持
随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供政策扶持。
宣传推广
组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。
核心竞争力
通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
04、DSMM的评估依据
DSMM国家标准以组织的数据为中心,围绕数据的采集、传输存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
一级是非正式执行级,二级是计划跟踪级,三级是充分定义级,四级是量化控制级,五级是持续改进级。级别越高代表该企业数据安全能力管理方面越优秀,用以评判组织的数据安全能力。
05、哪些组织适合申请
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。