DSMM数据安全能力成熟度模型

DSMM数据安全能力成熟度模型

  • 专业服务保障
  • 一对一全程指导
  • 高效快捷体验
DSMM标准能够用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全管理,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。
在线咨询

产品介绍

导 读

近年来,随着信息技术和人类生产生活交汇融合,通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。2016年11月颁布的《网络安全法》建立了网络数据安全相关制度,2019年5月《数据安全管理办法》草案公开征求意见,2020年7月《数据安全法》草案公开征求意见,由此可见,数据安全已经成为网络安全乃至国家安全法制体系中的核心内容之一。


01

DSMM标准介绍

《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019) (以下简称“DSMM”)是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。
DSMM国家标准以组织的数据为中心,围绕数据的采集、传输存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。

02

DSMM评估概述
                                                                                                                                                                                       

DSMM


评估依据


数据安全能力成熟度评估(以下简称“DSMM评估”)是依据《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)国家标准和《数据安全能力建设实施指南V1.0》,对组织的数据安全开展能力评估。
评估依据

评估内容



DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

数据安全能力成熟度模型

1)维度一:安全能力(4个关键能力)
安全能力维度明确了组织在数据安全领域应具备的能力,包括:组织建设、制度流程、技术工具和人员能力。
2)维度二:能力成熟度等级(5级)
共分为5级,具体包括:1级是非正式执行级,2级是计划跟踪级,3级是充分定义级,4级是量化控制级,5级是持续优化级。
3)维度三:数据安全过程(6+1)
具体包括:数据生存周期安全过程(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全)和通用安全过程。

能力域

评估对象



DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
评估目标


DSMM评估的目标是帮助各企业和组织基于国家标准来评估其数据安全能力,帮助企业和组织发现数据安全能力短板,提升企业组织的数据安全能力,促进大数据在组织间的交换、共享与流转,发挥大数据的价值。DSMM将数据安全能力划分为五个等级,级别越高,代表该企业数据安全能力管理方面越优秀;级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。

等级

申请什么级别主要依据企业的实际情况来判断,没有硬性规定初次申请级别的限制。大部分组织适合申请DSMM2级,DSMM3级适合具有较高数据安全实践水平的组织申请,DSMM4级适合在数据安全领域建设水平领先的组织申请,DSMM5级暂不开放申请。
评价方法


DSMM的评价方法主要是评分制,先对每个过程域(PA)的四个能力维度(BP)进行打分,再通过计算平均分、修正分值的方式得到最终的PA分值,最终得到整体的综合得分。


评价方法

贯标流程



Step1:差距分析——Step2:能力建设——Step3:测量评估。

差距分析

评估流程



评估流程

评估交付物



评估结果:DSMM标准重点关注企业业务数据,以衡量组织机构安全能力,全面展示企业数据安全能力项成熟度评估等级。

评估报告:帮助企业展示数据安全能力现状,识别数据安全能力相关问题,给出评估结论、详细评估结果和阶段性安全提升建议等,给出评估等级建议。
评估证书:通过专家评审后,同意给定对应数据安全能力成熟度等级,并颁发DSMM证书。

03

需要哪些部门和角色参与?

申请DSMM涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。


04

实施DSMM意义

DSMM标准可为组织在不同阶段,开展数据保护建设,提供分级别的实践指南。通过实施DSMM评估,可以:

1、促进组织机构了解并提升自身的数据安全水平,从数据生命周期的角度出发,结合各类数据业务发展所体现的安全需求开展数据安全保障工作;

2、保障数据在组织机构之间安全地交换与共享,充分发挥数据的价值,打造更安全的大数据应用环境。


05

证书模板                                                                                                              
 

证书模板

办理流程

请咨询在线客服。

所需材料

请咨询在线客服。

常见问题

扩展支持服务

全生命周期保障服务 1. 建立基于项目制的PMO工作组,由客户经理和项目经理联合负责跟进项目进度、交付物、满意度等质量活动。
2. 项目生命周期过程中的任何不满,均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访,以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。
服务指标 全天候擎标在线,7×12小时的400电话和线上支持,提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率,在目标时间内保质保量的交付每一次服务。
工具支持 可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。
知识中心 1. 通过咨询顾问和培训老师,可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
培训增值 1. 擎标每年不定期的举办培训公开课,签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。