,

J38uQ0T

DSMM是Data Security capability Maturity Model的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實施的GB/T 37988-2019《信息安全技術數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護體系。DSMM標準是以組織為評估對象，用來衡量一個組織的數(shù)據(jù)安全能力成熟度水平，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務貼合緊密的數(shù)據(jù)安全架構，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟的發(fā)展。

本標準給出了組織數(shù)據(jù)安全能力的成熟度模型架構，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。

本標準適用于對組織數(shù)據(jù)安全能力進行評估，也可作為組織開展數(shù)據(jù)安全能力建設時的依據(jù)。

數(shù)據(jù)安全能力成熟度模型架構

1、五個等級包括：

-L1非正式執(zhí)行：執(zhí)行非正式過程，隨機、無序、被動執(zhí)行安全過程，依賴個人經(jīng)驗，無法復制。

-L2計劃跟蹤：在業(yè)務系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進展。

-L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標準過程進行制度化，過程可重復執(zhí)行，執(zhí)行結(jié)果可核查。

-L4量化控制：建立了量化目標，安全過程可度量。

-L5持續(xù)優(yōu)化：根據(jù)組織的整體目標，不斷改進和優(yōu)化組織能力和安全過程有效性。

2、四大安全能力維度包括：

-組織建設：指數(shù)據(jù)安全組織的架構建立、職責分配和溝通協(xié)作。組織可分為決策層、管理層和執(zhí)行層等三層結(jié)構。其中，決策層由參與業(yè)務發(fā)展決策的高管和數(shù)據(jù)安全官組成，制定數(shù)據(jù)安全的目標和愿景，在業(yè)務發(fā)展和數(shù)據(jù)安全之間做出良好的平衡；管理層是數(shù)據(jù)安全核心實體部門及業(yè)務部門管理層組成，負責制定數(shù)據(jù)安全策略和規(guī)劃，及具體管理規(guī)范；執(zhí)行層由數(shù)據(jù)安全相關運營、技術和各業(yè)務部門接口人組成，負責保證數(shù)據(jù)安全工作推進落地。

-制度流程：指數(shù)據(jù)安全具體管理制度體系的建設和執(zhí)行，包括數(shù)據(jù)安全方針和總綱、數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南和作業(yè)指導，以及相關模板和表單等。

-技術工具：指與制度流程相配套并保證有效執(zhí)行的技術和工具，可以是獨立的系統(tǒng)平臺、工具、功能或算法技術等。需要綜合所有安全域進行整體規(guī)劃和實現(xiàn)，并且要和組織的業(yè)務系統(tǒng)和信息系統(tǒng)等進行銜接。包括適用于所有安全域的通用技術工具，和部分階段或安全域試用的技術工具。

-人員能力：指為實現(xiàn)以上組織、制度和技術工具的建設和執(zhí)行其人員應具備的能力。核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運營能力、數(shù)據(jù)安全技術能力及數(shù)據(jù)安全合規(guī)能力。根據(jù)不同數(shù)據(jù)安全能力建設維度匹配不同人員能力要求。

3、七大數(shù)據(jù)安全過程維度包括：

數(shù)據(jù)安全過程維度則從兩個層面考量：

數(shù)據(jù)安全過程包括數(shù)據(jù)生存周期安全過程和通用安全過程；
數(shù)據(jù)生存周期安全過程具體包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個階段。

-數(shù)據(jù)采集：指在組織機構內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。

-數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構內(nèi)部從一個實體通過網(wǎng)絡流動到另一個實體的階段。

-數(shù)據(jù)存儲：指數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。

-數(shù)據(jù)處理：指組織機構在內(nèi)部針對數(shù)據(jù)進行計算、分析、可視化等操作的階段。

-數(shù)據(jù)交換：指數(shù)據(jù)由組織機構與外部組織機構及個人交互的階段。

-數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的存儲介質(zhì)通過相應的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復的過程。

數(shù)據(jù)安全能力成熟度模型適用范圍

DSMM標準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關注自身數(shù)據(jù)安全能力建設情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務提供組織等。

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領域建設水平領先的組織申請，DSMM5級暫不開放申請。

數(shù)據(jù)安全能力成熟度模型的優(yōu)勢

資產(chǎn)保護：企業(yè)通過數(shù)據(jù)安全認證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及管理措施，提高企業(yè)數(shù)據(jù)安全保護意識，保障企業(yè)數(shù)據(jù)資產(chǎn)安全。

風險防控：數(shù)據(jù)安全能力體系的建設，不僅擁有應對數(shù)據(jù)風險發(fā)生時的防護能力，更能從源頭對風險進行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

合規(guī)要求：《數(shù)據(jù)安全法》《個人信息保護法》等相關法律法規(guī)相繼出臺，對企業(yè)數(shù)據(jù)安全建設提出了要求，數(shù)據(jù)安全認證可幫助企業(yè)滿足相關法律法規(guī)要求，落實責任義務。

政策扶持：隨著相關法律法規(guī)完善，各地區(qū)政府鼓勵當?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供政策扶持。

宣傳推廣：組織通過數(shù)據(jù)安全認證，結(jié)合數(shù)據(jù)安全體系建設的經(jīng)驗，可形成行業(yè)最佳實踐，擴大行業(yè)知名度，帶動行業(yè)發(fā)展。

核心競爭力：通過數(shù)據(jù)安全認證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務提供方，提升自身核心競爭力，為企業(yè)客戶提供安全的數(shù)據(jù)服務。

數(shù)據(jù)安全能力成熟度模型評估方式

DSMM評估方式主要包括人員訪談、文檔審核、配置檢查、工具測試、旁站式驗證等方式，具體情況如下：

文檔審核：由被評價組織輸入與數(shù)據(jù)安全相關的文檔材料（如數(shù)據(jù)安全的方針政策、制度規(guī)范流程、培訓教育材料、以及與產(chǎn)品技術相關的設計實施方案、配置說明、運行記錄和其他配套表單）、審核小組審核相關的文檔材料是否已涵蓋完整數(shù)據(jù)生存周期的PA和控制項。

配置檢查：根據(jù)被審核方提供的技術材料，登陸相關的系統(tǒng)工具平臺，檢査配置是否與材料保持一致，對文檔審核內(nèi)容進行核實。

工具測試：利用技術工具對系統(tǒng)工具進行測試，驗證是否符合數(shù)據(jù)安全成熟度模型特定等級的技術能力要求，也可采信第三方的測試報告。

旁站式驗證：審核人員在現(xiàn)場通過實地觀察人員行為、技術設施和環(huán)境狀況判斷人員的安全意識、業(yè)務操作、管理程序等方面的安全情況。

人員訪談：通過訪談的方式與被審核方進行交流、討論等活動，獲取相關證據(jù)，了解有關信息。

久久熟妇人妻午夜寂寞影院,亚洲精品无播放器在线观看,狠狠色噜狠狠狠狠色综合久,亚洲精品一区二区三区影院