數(shù)據(jù)安全能力成熟度認證（DSMM）

隨著我國經(jīng)濟與科技水平的進步，數(shù)據(jù)已成為驅(qū)動各行各業(yè)創(chuàng)新發(fā)展的重要資源之一。在國家大力推廣數(shù)據(jù)戰(zhàn)略的形勢下，數(shù)據(jù)安全相關(guān)法律相繼出臺。其中，我國數(shù)據(jù)安全領(lǐng)域的首部專門律法《數(shù)據(jù)安全法》中提到：國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務活動。

01DSMM是什么

DSMM

《信息安全技術(shù)—數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）是2020年3月1日實施的一項中華人民共和國國家標準，歸口于全國信息安全標準化技術(shù)委員會。 

《信息安全技術(shù)—數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。該標準適用于對組織數(shù)據(jù)安全能力進行評估，也可作為組織開展數(shù)據(jù)安全能力建設(shè)時的依據(jù)。

02實施DSMM的意義

工作總結(jié)與分

1、理清組織數(shù)據(jù)安全現(xiàn)狀，發(fā)現(xiàn)組織的數(shù)據(jù)安全能力短板。 

2、帶來差異化競爭力：數(shù)據(jù)安全能力成熟度的認證能向企業(yè)的客戶及合作伙伴表明組織保障數(shù)據(jù)安全的能力，令其對組織的信心加強，有助于增加組織在同行業(yè)內(nèi)的競爭優(yōu)勢，穩(wěn)固市場地位。 

3、減少可能的損失：數(shù)據(jù)安全能力的提升，能在一定程度上降低數(shù)據(jù)安全事件給組織帶來的不良聲譽影響和可能的經(jīng)濟損失。增強員工的意識和相關(guān)技能：提升組織數(shù)據(jù)安全管理人員的技能，增強全體員工的數(shù)據(jù)安全意識。

4、確保已建立的數(shù)據(jù)安全保障體系有效運轉(zhuǎn)和持續(xù)提升，從而整體上提升企業(yè)的數(shù)據(jù)安全水平。

5、從數(shù)據(jù)的安全保護、合規(guī)使用到數(shù)據(jù)的開發(fā)利用，數(shù)據(jù)安全能力成熟度的認證和持續(xù)監(jiān)督審核是組織數(shù)據(jù)安全的體檢措施，能為數(shù)據(jù)生產(chǎn)要素價值的實現(xiàn)打好基礎(chǔ)。

03DSMM對企業(yè)的價值

提升數(shù)據(jù)安全能力：通過認證過程，組織能夠全面評估和提升自身的數(shù)據(jù)安全能力，確保數(shù)據(jù)在全生命周期中的安全性。

發(fā)現(xiàn)并彌補短板：認證有助于識別組織在數(shù)據(jù)安全方面的不足，從而有針對性地進行改進和提升。

增強競爭力：獲得DSMM認證可以增強組織在市場上的競爭力，提高客戶和合作伙伴的信任度。

減少潛在損失：通過加強數(shù)據(jù)安全管理，組織能夠減少因數(shù)據(jù)安全事件導致的潛在經(jīng)濟損失和聲譽損害。

提高員工意識與技能：認證過程也是對員工進行數(shù)據(jù)安全教育的好機會，提高他們的數(shù)據(jù)安全意識和操作技能。

實現(xiàn)數(shù)據(jù)價值：良好的數(shù)據(jù)安全管理有助于最大化數(shù)據(jù)的價值，支持業(yè)務發(fā)展和創(chuàng)新。

符合法規(guī)要求：DSMM認證有助于組織符合國家有關(guān)數(shù)據(jù)安全的法律法規(guī)要求，降低合規(guī)風險。

持續(xù)改進：認證不是一個一次性的活動，而是一個持續(xù)的過程，鼓勵組織不斷優(yōu)化和提升數(shù)據(jù)安全能力。

04DSMM的評估依據(jù)

DSMM國家標準以組織的數(shù)據(jù)為中心，圍繞數(shù)據(jù)的采集、傳輸存儲、處理、交換、銷毀全生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個能力維度，按照1-5級成熟度，評判組織的數(shù)據(jù)安全能力。

一級是非正式執(zhí)行級，二級是計劃跟蹤級，三級是充分定義級，四級是量化控制級，五級是持續(xù)改進級。級別越高代表該企業(yè)數(shù)據(jù)安全能力管理方面越優(yōu)秀，用以評判組織的數(shù)據(jù)安全能力。

05哪些組織適合申請

DSMM標準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務提供組織等。

06證書管理

可通過國家市場監(jiān)督管理總局全國認證認可信息公共服務平臺http://cx.cnca.cn/CertECloud/index/index/page查詢證書詳情，并核查驗證證書的有效性。

DSMM證書有效期為三年，證書到期前至少提前三個月申請再認證評估。

滿足哪些條件可以申請DSMM？

1獨立法人資格

申請組織需為具有獨立法人資格的實體。

2法定資質(zhì)和資格

根據(jù)組織業(yè)務性質(zhì)，需具備相關(guān)的法定資質(zhì)和資格。

3專業(yè)技術(shù)人員

應擁有數(shù)據(jù)安全方面的專業(yè)技術(shù)人員。

4數(shù)據(jù)安全管理

需按照《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）標準要求進行數(shù)據(jù)安全管理。

5管理體系建立

已建立數(shù)據(jù)安全管理體系，并至少進行過一次內(nèi)部審核。

這些條件確保了申請組織在數(shù)據(jù)安全方面具有一定的基本能力和管理體系，滿足上述條件，即可申請DSMM認證。