什么是数据安全能力成熟度评估模型DSMM?
数据安全能力成熟度模型(Data Security Capability Maturity Mode,简称DSMM)是我国首个依据《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)国家标准开展的数据安全认证,是国内第一个数据安全标准认证 。该标准于2019年8月30日发布,2020年3月1日正式实施。
四个安全能力维度:组织建设、制度流程、技术工具、人员能力;
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
五个安全能力等级:从低到高依次1至5级。
可通过全国认证认可信息公共服务平台(http://cx.cnca.cn/CertECloud/index/index/page)查询证书详情及有效性,证书有效期三年,过程不需要年审。
数据安全能力成熟度评估模型DSMM基于能力成熟度模型的概念,在数据生存周期各阶段和通用安全方面明确了数据安全5个能力等级的要求,是公司数据安全治理和能力建设的有效参考。
数据安全能力成熟度评估模型DSMM:成熟度等级
等级 | 说明 | 共性特征 |
| 等级1: 非正式执行 | 随机、无序、被动地执行安全过程,依赖于个人经验,无法复制。 | 执行BP:组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程”。 |
| 等级2: 计划跟踪 | 在业务系统级别主动地实现了安全过程的计划与执行,但没有形成体系化。 | 1)规划执行:对安全过程进行规划,提前分配资源和责任;
2)规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理;
3)验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的;
4)跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动。 |
| 等级3: 充分定义 | 在组织级别实现了安全过程的规范执行。 | 1)定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪;
2)执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查; 3)协调安全实践:确定业务系统内、各业务系统之间、组织内外部活动的协调机制。 |
| 等级4: 量化控制 | 建立了量化目标,安全过程可度量。 | 1)建立可测量的安全目标:为组织的数据安全建立可测量目标;
2)客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础。 |
| 等级5: 持续优化 | 根据组织的整体目标,不断改进和优化安全过程。 | 1)改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进;
2)改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进。 |
数据安全能力成熟度评估模型DSMM:评估项分布
| 一级 | 二级 | 三级 | 四级 | 五级 | 总数 |
组织建设 | 29 | 30 | 38 | 4 | 3 | 104 |
制度流程 | 2 | 35 | 112 | 38 | 18 | 205 |
技术工具 | 0 | 16 | 76 | 62 | 49 | 203 |
人员能力 | 0 | 13 | 37 | 5 | 3 | 58 |
合计 | 31 | 94 | 263 | 109 | 73 | 570 |
数据安全能力成熟度评估模型DSMM等级判断规律
申请什么级别主要依据企业的实际情况来判断,没有硬性规定初次申请级别的限制。大部分组织适合申请DSMM2级,DSMM3级适合具有较高数据安全实践水平的组织申请,DSMM4级适合在数据安全领域建设水平领先的组织申请,DSMM5级暂不开放申请。
对标DCMM:同一企业DSMM认证等级比DCMM低一级别,DSMM专注于数据安全,专业要求更高
对标认证企业:南网电网、东方航空、上海联通等大型企业贯标等级为DSMM三级
等级认证情况:四级目前只有一家(中移动信息技术有限公司),五级未开放.
数据安全能力成熟度评估模型DSMM认证收益
合规监管:为“数据资产入表”“数据交易”提供前期合规性评估检查;响应《数据安全法》《个人信息保护法》等相关 法律法规要求,落实责任义务
资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及 管理措施,提高企业数据安全保护意识,保障企业数据资产安全
风险防控:数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。
核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供 政策扶持。