,

J38uQ0T

DSMM是Data Security capability Maturity Model的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實(shí)施的GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護(hù)體系。DSMM標(biāo)準(zhǔn)是以組織為評(píng)估對(duì)象，用來衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度水平，聚焦數(shù)據(jù)全生命周期的防護(hù)，從四個(gè)安全能力維度提出分級(jí)要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競(jìng)爭(zhēng)力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。

本標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級(jí)要求。

本標(biāo)準(zhǔn)適用于對(duì)組織數(shù)據(jù)安全能力進(jìn)行評(píng)估，也可作為組織開展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)。

數(shù)據(jù)安全能力成熟度模型架構(gòu)

1、五個(gè)等級(jí)包括：

-L1非正式執(zhí)行：執(zhí)行非正式過程，隨機(jī)、無序、被動(dòng)執(zhí)行安全過程，依賴個(gè)人經(jīng)驗(yàn)，無法復(fù)制。

-L2計(jì)劃跟蹤：在業(yè)務(wù)系統(tǒng)級(jí)別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行，但沒有形成體系化，可驗(yàn)證過程執(zhí)行與計(jì)劃一致，跟蹤、控制執(zhí)行的進(jìn)展。

-L3充分定義：在組織級(jí)別實(shí)現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過程進(jìn)行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。

-L4量化控制：建立了量化目標(biāo)，安全過程可度量。

-L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。

2、四大安全能力維度包括：

-組織建設(shè)：指數(shù)據(jù)安全組織的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。組織可分為決策層、管理層和執(zhí)行層等三層結(jié)構(gòu)。其中，決策層由參與業(yè)務(wù)發(fā)展決策的高管和數(shù)據(jù)安全官組成，制定數(shù)據(jù)安全的目標(biāo)和愿景，在業(yè)務(wù)發(fā)展和數(shù)據(jù)安全之間做出良好的平衡；管理層是數(shù)據(jù)安全核心實(shí)體部門及業(yè)務(wù)部門管理層組成，負(fù)責(zé)制定數(shù)據(jù)安全策略和規(guī)劃，及具體管理規(guī)范；執(zhí)行層由數(shù)據(jù)安全相關(guān)運(yùn)營(yíng)、技術(shù)和各業(yè)務(wù)部門接口人組成，負(fù)責(zé)保證數(shù)據(jù)安全工作推進(jìn)落地。

-制度流程：指數(shù)據(jù)安全具體管理制度體系的建設(shè)和執(zhí)行，包括數(shù)據(jù)安全方針和總綱、數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南和作業(yè)指導(dǎo)，以及相關(guān)模板和表單等。

-技術(shù)工具：指與制度流程相配套并保證有效執(zhí)行的技術(shù)和工具，可以是獨(dú)立的系統(tǒng)平臺(tái)、工具、功能或算法技術(shù)等。需要綜合所有安全域進(jìn)行整體規(guī)劃和實(shí)現(xiàn)，并且要和組織的業(yè)務(wù)系統(tǒng)和信息系統(tǒng)等進(jìn)行銜接。包括適用于所有安全域的通用技術(shù)工具，和部分階段或安全域試用的技術(shù)工具。

-人員能力：指為實(shí)現(xiàn)以上組織、制度和技術(shù)工具的建設(shè)和執(zhí)行其人員應(yīng)具備的能力。核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營(yíng)能力、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力。根據(jù)不同數(shù)據(jù)安全能力建設(shè)維度匹配不同人員能力要求。

3、七大數(shù)據(jù)安全過程維度包括：

數(shù)據(jù)安全過程維度則從兩個(gè)層面考量：

數(shù)據(jù)安全過程包括數(shù)據(jù)生存周期安全過程和通用安全過程；
數(shù)據(jù)生存周期安全過程具體包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個(gè)階段。

-數(shù)據(jù)采集：指在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。

-數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。

-數(shù)據(jù)存儲(chǔ)：指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。

-數(shù)據(jù)處理：指組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。

-數(shù)據(jù)交換：指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段。

-數(shù)據(jù)銷毀：指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。

數(shù)據(jù)安全能力成熟度模型適用范圍

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，包括但不限于數(shù)據(jù)運(yùn)營(yíng)組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

申請(qǐng)什么級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來判斷，沒有硬性規(guī)定初次申請(qǐng)級(jí)別的限制。大部分組織適合申請(qǐng)DSMM2級(jí)，DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng)，DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng)，DSMM5級(jí)暫不開放申請(qǐng)。

數(shù)據(jù)安全能力成熟度模型的優(yōu)勢(shì)

資產(chǎn)保護(hù)：企業(yè)通過數(shù)據(jù)安全認(rèn)證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及管理措施，提高企業(yè)數(shù)據(jù)安全保護(hù)意識(shí)，保障企業(yè)數(shù)據(jù)資產(chǎn)安全。

風(fēng)險(xiǎn)防控：數(shù)據(jù)安全能力體系的建設(shè)，不僅擁有應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)發(fā)生時(shí)的防護(hù)能力，更能從源頭對(duì)風(fēng)險(xiǎn)進(jìn)行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

合規(guī)要求：《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)相繼出臺(tái)，對(duì)企業(yè)數(shù)據(jù)安全建設(shè)提出了要求，數(shù)據(jù)安全認(rèn)證可幫助企業(yè)滿足相關(guān)法律法規(guī)要求，落實(shí)責(zé)任義務(wù)。

政策扶持：隨著相關(guān)法律法規(guī)完善，各地區(qū)政府鼓勵(lì)當(dāng)?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供政策扶持。

宣傳推廣：組織通過數(shù)據(jù)安全認(rèn)證，結(jié)合數(shù)據(jù)安全體系建設(shè)的經(jīng)驗(yàn)，可形成行業(yè)最佳實(shí)踐，擴(kuò)大行業(yè)知名度，帶動(dòng)行業(yè)發(fā)展。

核心競(jìng)爭(zhēng)力：通過數(shù)據(jù)安全認(rèn)證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務(wù)提供方，提升自身核心競(jìng)爭(zhēng)力，為企業(yè)客戶提供安全的數(shù)據(jù)服務(wù)。

數(shù)據(jù)安全能力成熟度模型評(píng)估方式

DSMM評(píng)估方式主要包括人員訪談、文檔審核、配置檢查、工具測(cè)試、旁站式驗(yàn)證等方式，具體情況如下：

文檔審核：由被評(píng)價(jià)組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料（如數(shù)據(jù)安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄和其他配套表單）、審核小組審核相關(guān)的文檔材料是否已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)。

配置檢查：根據(jù)被審核方提供的技術(shù)材料，登陸相關(guān)的系統(tǒng)工具平臺(tái)，檢査配置是否與材料保持一致，對(duì)文檔審核內(nèi)容進(jìn)行核實(shí)。

工具測(cè)試：利用技術(shù)工具對(duì)系統(tǒng)工具進(jìn)行測(cè)試，驗(yàn)證是否符合數(shù)據(jù)安全成熟度模型特定等級(jí)的技術(shù)能力要求，也可采信第三方的測(cè)試報(bào)告。

旁站式驗(yàn)證：審核人員在現(xiàn)場(chǎng)通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況。

人員訪談：通過訪談的方式與被審核方進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。

久久熟妇人妻午夜寂寞影院,亚洲精品无播放器在线观看,狠狠色噜狠狠狠狠色综合久,亚洲精品一区二区三区影院

成都遠(yuǎn)望企業(yè)管理咨詢有限公司

會(huì)員