数据安全能力成熟度认证(DSMM)
随着我国经济与科技水平的进步,数据已成为驱动各行各业创新发展的重要资源之一。在国家大力推广数据战略的形势下,数据安全相关法律相继出台。其中,我国数据安全领域的首部专门律法《数据安全法》中提到:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
01DSMM是什么
DSMM
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)是2020年3月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
02实施DSMM的意义
工作总结与分
1、理清组织数据安全现状,发现组织的数据安全能力短板。
2、带来差异化竞争力:数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力,令其对组织的信心加强,有助于增加组织在同行业内的竞争优势,稳固市场地位。
3、减少可能的损失:数据安全能力的提升,能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能:提升组织数据安全管理人员的技能,增强全体员工的数据安全意识。
4、确保已建立的数据安全保障体系有效运转和持续提升,从而整体上提升企业的数据安全水平。
5、从数据的安全保护、合规使用到数据的开发利用,数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施,能为数据生产要素价值的实现打好基础。
03DSMM对企业的价值
提升数据安全能力:通过认证过程,组织能够全面评估和提升自身的数据安全能力,确保数据在全生命周期中的安全性。
发现并弥补短板:认证有助于识别组织在数据安全方面的不足,从而有针对性地进行改进和提升。
增强竞争力:获得DSMM认证可以增强组织在市场上的竞争力,提高客户和合作伙伴的信任度。
减少潜在损失:通过加强数据安全管理,组织能够减少因数据安全事件导致的潜在经济损失和声誉损害。
提高员工意识与技能:认证过程也是对员工进行数据安全教育的好机会,提高他们的数据安全意识和操作技能。
实现数据价值:良好的数据安全管理有助于最大化数据的价值,支持业务发展和创新。
符合法规要求:DSMM认证有助于组织符合国家有关数据安全的法律法规要求,降低合规风险。
持续改进:认证不是一个一次性的活动,而是一个持续的过程,鼓励组织不断优化和提升数据安全能力。
04DSMM的评估依据
DSMM国家标准以组织的数据为中心,围绕数据的采集、传输存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
一级是非正式执行级,二级是计划跟踪级,三级是充分定义级,四级是量化控制级,五级是持续改进级。级别越高代表该企业数据安全能力管理方面越优秀,用以评判组织的数据安全能力。
05哪些组织适合申请
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
06证书管理
可通过国家市场监督管理总局全国认证认可信息公共服务平台http://cx.cnca.cn/CertECloud/index/index/page查询证书详情,并核查验证证书的有效性。
DSMM证书有效期为三年,证书到期前至少提前三个月申请再认证评估。
满足哪些条件可以申请DSMM?
1独立法人资格
申请组织需为具有独立法人资格的实体。
2法定资质和资格
根据组织业务性质,需具备相关的法定资质和资格。
3专业技术人员
应拥有数据安全方面的专业技术人员。
4数据安全管理
需按照《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)标准要求进行数据安全管理。
5管理体系建立
已建立数据安全管理体系,并至少进行过一次内部审核。
这些条件确保了申请组织在数据安全方面具有一定的基本能力和管理体系,满足上述条件,即可申请DSMM认证。