DSMM是什么？

《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019) (以下簡(jiǎn)稱“DSMM”）是由阿里巴巴聯(lián)合中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家信息安全工程技術(shù)研究中心、中國(guó)信息安全測(cè)評(píng)中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國(guó)家標(biāo)準(zhǔn)，于2019年8月30日發(fā)布，2020年3月1日正式實(shí)施。

DSMM與其他資質(zhì)區(qū)別

ISO27001是信息安全管理體系。ISO27001標(biāo)準(zhǔn)是以組織為對(duì)象，偏向信息安全管理，側(cè)重于指導(dǎo)組織依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇合適的控制措施，設(shè)計(jì)構(gòu)建信息安全管理體系。

DSMM是Data Security capability MaturityModel的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實(shí)施的GB/T 37988-2019 《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護(hù)體系。DSMM標(biāo)準(zhǔn)也是以組織為評(píng)估對(duì)象，聚焦數(shù)據(jù)全生命周期的防護(hù)，從四個(gè)安全能力維度提出分級(jí)要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)。

DCMM即《數(shù)據(jù)管理能力成熟度評(píng)估模型》，是我國(guó)在數(shù)據(jù)管理領(lǐng)域首個(gè)正式發(fā)布的國(guó)家標(biāo)準(zhǔn)。DCMM標(biāo)準(zhǔn)以組織為評(píng)估對(duì)象，DCMM數(shù)據(jù)管理能力成熟度評(píng)估模型定義了數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)安全、數(shù)據(jù)質(zhì)量、數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)生存周期八個(gè)核心能力域及28個(gè)能力項(xiàng)，并以組織、制度、流程和技術(shù)作為八個(gè)核心域評(píng)價(jià)維度。幫助企業(yè)利用先進(jìn)的數(shù)據(jù)管理理念和方法，建立和評(píng)價(jià)自身數(shù)據(jù)管理能力，持續(xù)完善數(shù)據(jù)管理組織、程序和制度，充分發(fā)揮數(shù)據(jù)在促進(jìn)企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價(jià)值。

DSMM的意義與價(jià)值？

理清企業(yè)數(shù)據(jù)安全現(xiàn)狀，發(fā)現(xiàn)企業(yè)和組織的數(shù)據(jù)安全能力短板。

帶來(lái)差異化競(jìng)爭(zhēng)力：數(shù)據(jù)安全能力成熟度的認(rèn)證能向企業(yè)的客戶及合作伙伴表明組織保障數(shù)據(jù)安全的能力，令其對(duì)組織的信心加強(qiáng)，有助于增加組織在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì)，穩(wěn)固市場(chǎng)地位。

減少可能的損失：數(shù)據(jù)安全能力的提升，能在一定程度上降低數(shù)據(jù)安全事件給組織帶來(lái)的不良聲譽(yù)影響和可能的經(jīng)濟(jì)損失。增強(qiáng)員工的意識(shí)和相關(guān)技能：提升組織數(shù)據(jù)安全管理人員的技能，增強(qiáng)全體員工的數(shù)據(jù)安全意識(shí)。

確保已建立的數(shù)據(jù)安全保障體系有效運(yùn)轉(zhuǎn)和持續(xù)提升，從而整體上提升企業(yè)的數(shù)據(jù)安全水平。

從數(shù)據(jù)的安全保護(hù)、合規(guī)使用到數(shù)據(jù)的開(kāi)發(fā)利用，數(shù)據(jù)安全能力成熟度的認(rèn)證和持續(xù)監(jiān)督審核是組織數(shù)據(jù)安全的體檢措施，能為數(shù)據(jù)生產(chǎn)要素價(jià)值的實(shí)現(xiàn)打好基礎(chǔ)。

DSMM的架構(gòu)與內(nèi)容

DSMM評(píng)估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期,對(duì)組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評(píng)估,涵蓋5個(gè)成熟度級(jí)別、30個(gè)數(shù)據(jù)安全能力過(guò)程域和576個(gè)基本實(shí)踐。DSMM的架構(gòu)由以下三個(gè)維度構(gòu)成：

（1）安全能力維度：安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力.包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。

（2）能力成熟度等級(jí)維度：組織的數(shù)據(jù)安全能力成熟度等級(jí)劃分為五級(jí)，具體包括：1級(jí)（非正式執(zhí)行級(jí)），2級(jí)（計(jì)劃跟蹤級(jí)），3 級(jí)（充分定義級(jí)），4級(jí)（量化控制級(jí)），5級(jí)（持續(xù)優(yōu)化級(jí)）。

（3）數(shù)據(jù)安全過(guò)程維度：數(shù)據(jù)安全過(guò)程包括數(shù)據(jù)生存周期安全過(guò)程和通用安全過(guò)程；數(shù)據(jù)生存周期安全過(guò)程具體包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個(gè)階段。

⑤DSMM每個(gè)等級(jí)區(qū)別

1級(jí)（非正式執(zhí)行）主要特點(diǎn)：數(shù)據(jù)安全工作是隨機(jī)、無(wú)序、被動(dòng)執(zhí)行的，依賴與個(gè)人，經(jīng)驗(yàn)無(wú)法復(fù)制。組織在數(shù)據(jù)安全領(lǐng)域未執(zhí)行有效的相關(guān)工作，僅在部分場(chǎng)景或項(xiàng)目的臨時(shí)需求執(zhí)行相關(guān)工作，未形成成熟的機(jī)制，來(lái)保障數(shù)據(jù)安全相關(guān)工作的持續(xù)開(kāi)展。

2級(jí)（計(jì)劃跟蹤）主要特點(diǎn)：在項(xiàng)目級(jí)別主動(dòng)實(shí)現(xiàn)了安全過(guò)程的計(jì)劃與執(zhí)行，沒(méi)有形成體系化。規(guī)劃執(zhí)行，對(duì)數(shù)據(jù)安全過(guò)程進(jìn)行規(guī)劃，提前分配資源和責(zé)任；規(guī)范化執(zhí)行，對(duì)安全過(guò)程進(jìn)行控制，使用安全執(zhí)行計(jì)劃，執(zhí)行相關(guān)標(biāo)準(zhǔn)和程序的過(guò)程，對(duì)數(shù)據(jù)安全過(guò)程實(shí)施配置管理；驗(yàn)證執(zhí)行，確認(rèn)過(guò)程按照預(yù)定的方式執(zhí)行，驗(yàn)證執(zhí)行過(guò)程與可應(yīng)用的計(jì)劃是一致的，對(duì)數(shù)據(jù)安全過(guò)程進(jìn)行審計(jì)；跟蹤執(zhí)行，控制數(shù)據(jù)安全項(xiàng)目的進(jìn)展，通過(guò)可測(cè)量的計(jì)劃跟蹤過(guò)程執(zhí)行，當(dāng)過(guò)程實(shí)踐與計(jì)劃產(chǎn)生重大的偏離時(shí)采取修正行動(dòng)。

3級(jí)（充分定義）主要特點(diǎn)：在組織級(jí)別實(shí)現(xiàn)了安全過(guò)程的規(guī)范定義和執(zhí)行。定義標(biāo)準(zhǔn)過(guò)程，組織對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行制度化，形成標(biāo)準(zhǔn)化過(guò)程文檔，為滿足特定用途對(duì)標(biāo)準(zhǔn)過(guò)程進(jìn)行裁剪；執(zhí)行已定義的過(guò)程，充分定義的過(guò)程可重復(fù)執(zhí)行，針對(duì)有缺陷的過(guò)程結(jié)果和安全實(shí)踐的核查，使用過(guò)程執(zhí)行的結(jié)果數(shù)據(jù)；協(xié)調(diào)安全實(shí)踐，對(duì)業(yè)務(wù)系統(tǒng)和組織的協(xié)調(diào)，確定業(yè)務(wù)系統(tǒng)內(nèi)，各業(yè)務(wù)系統(tǒng)之間、組織外部活動(dòng)的協(xié)調(diào)機(jī)制。

4級(jí)（量化控制）主要特點(diǎn)：建立了量化目標(biāo)，安全過(guò)程可量化度量和預(yù)測(cè)。建立可測(cè)的目標(biāo)，為組織數(shù)據(jù)安全建立可測(cè)量的目標(biāo)；客觀的管理執(zhí)行，確定過(guò)程能力的量化測(cè)量來(lái)管理安全過(guò)程，以量化測(cè)量作為修正行動(dòng)的基礎(chǔ)。

5級(jí)（持續(xù)優(yōu)化）主要特點(diǎn)：根據(jù)組織的整理戰(zhàn)略和目標(biāo)，不斷改進(jìn)和優(yōu)化數(shù)據(jù)安全過(guò)程。改進(jìn)組織能力，在整個(gè)組織范圍內(nèi)的標(biāo)準(zhǔn)過(guò)程使用情況進(jìn)行比較，尋找改進(jìn)標(biāo)準(zhǔn)過(guò)程的機(jī)會(huì)，分析對(duì)標(biāo)準(zhǔn)過(guò)程的可能變更。改進(jìn)過(guò)程有效性，制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過(guò)程，提出消除標(biāo)準(zhǔn)過(guò)程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過(guò)程。

初次申請(qǐng)DSMM可以申請(qǐng)什么級(jí)別？

申請(qǐng)什么認(rèn)證的級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來(lái)判斷，沒(méi)有強(qiáng)制硬性規(guī)定初次申請(qǐng)級(jí)別的限制。大部分組織都適合申請(qǐng)DSMM2級(jí)認(rèn)證，DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng)。DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng)。最高級(jí)DSMM5級(jí)目前暫不開(kāi)放申請(qǐng)。

⑦DSMM貫標(biāo)咨詢流程

第一步：差距分析（1個(gè)月），第二步：能力建設(shè)（3個(gè)月），第三步：測(cè)量評(píng)估（1個(gè)月）

【評(píng)估關(guān)鍵要素】

哪些企業(yè)適合申請(qǐng)DSMM

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒(méi)有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，包括但不限于：

數(shù)據(jù)擁有方:大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險(xiǎn)業(yè)、證券行業(yè)、電子商務(wù)平臺(tái)、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

數(shù)據(jù)方案提供方:數(shù)據(jù)開(kāi)發(fā)/運(yùn)營(yíng)商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

申請(qǐng)DSMM哪些部門要核心參與？

1）管理層：高層管理層，主要了解目前這個(gè)公司有沒(méi)有相應(yīng)的數(shù)據(jù)安全策略和方針，以及對(duì)組織設(shè)置的建議，涉及到后面的組織能力建設(shè)工作以及數(shù)據(jù)安全戰(zhàn)略規(guī)劃有沒(méi)有相應(yīng)的預(yù)算。如果這個(gè)公司本身是把數(shù)據(jù)安全劃到 IT 安全和信息安全和網(wǎng)絡(luò)安全里面，是很小的一塊，推數(shù)據(jù)安全的能力建設(shè)就會(huì)有比較大的阻力，因?yàn)椴皇撬壳暗囊粋€(gè)重要重點(diǎn)工作。

2）研發(fā)部門：主要需了解系統(tǒng)業(yè)務(wù)定位、系統(tǒng)架構(gòu)、業(yè)務(wù)數(shù)據(jù)范圍及數(shù)據(jù)采集、傳輸、處理、交換過(guò)程中的數(shù)據(jù)安全保護(hù)建設(shè)情況等內(nèi)容。以及要了解重要的業(yè)務(wù)和系統(tǒng)，在整個(gè)生命周期什么位置，比如說(shuō)它是屬于采集環(huán)節(jié)，還是屬于數(shù)據(jù)處理環(huán)節(jié)？然后對(duì)重要的系統(tǒng)，要了解系統(tǒng)主要的用戶，用戶的規(guī)模大概多少，數(shù)據(jù)的模型架構(gòu)，內(nèi)部數(shù)據(jù)的流轉(zhuǎn)情況，以及它與外部系統(tǒng)的之間的數(shù)據(jù)關(guān)系；要了解業(yè)務(wù)數(shù)據(jù)的流轉(zhuǎn)過(guò)程，包括在采集環(huán)節(jié)，采集的方式、渠道范圍，合規(guī)性的控制。數(shù)據(jù)在傳輸環(huán)節(jié)要備份恢復(fù)，能夠傳輸加密。數(shù)據(jù)處理環(huán)節(jié)就要了解這個(gè)系統(tǒng)數(shù)據(jù)處理和數(shù)據(jù)分析的功能有哪些？有沒(méi)有一些脫敏的場(chǎng)景和脫敏的規(guī)則，以及數(shù)據(jù)后臺(tái)的數(shù)據(jù)管理是怎么運(yùn)作的？它的功能有哪些？

3）運(yùn)維部門：需要了解網(wǎng)絡(luò)架構(gòu)、安全要求、安全技術(shù)工具及數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)銷毀過(guò)程、數(shù)據(jù)安全保護(hù)建設(shè)情況等內(nèi)容。