什么是DSMM？

數(shù)據(jù)安全能力成熟度模型（Data Security Capability Maturity Mode,簡稱DSMM）是阿里巴巴和中國電子技術(shù)標(biāo)準(zhǔn)化研究院在大量實(shí)踐和研究的基礎(chǔ)上，聯(lián)合三十多家企事業(yè)單位共同研究制定的。國家標(biāo)準(zhǔn)委于2019年8月30日正式發(fā)布了《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）。該標(biāo)準(zhǔn)能夠用來衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。

為什么開展DSMM？

DSMM 標(biāo)準(zhǔn)可為組織在不同階段，開展數(shù)據(jù)保護(hù)建設(shè)，提供分級(jí)別的實(shí)踐指南。通過實(shí)施DSMM評(píng)估，可以：

• 1、促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作；
• 2、保障數(shù)據(jù)在組織機(jī)構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價(jià)值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。 

辦理DSMM認(rèn)證的流程產(chǎn)品介紹

數(shù)據(jù)安全能力成熟度模型架構(gòu)主要有三個(gè)方面：

1.五個(gè)等級(jí)包括：非正式執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)優(yōu)化級(jí)，形成一個(gè)三維立體模型，全方面對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)。
2.四大安全能力維度包括：組織建設(shè)、制度流程、技術(shù)工具、人員能力；
3.七大數(shù)據(jù)安全過程維度包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全）；

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況，定義數(shù)據(jù)生命周期的6個(gè)階段，具體各階段的定義如下：

1.數(shù)據(jù)采集：指在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。
2.數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。
3.數(shù)據(jù)存儲(chǔ)：指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。
4.數(shù)據(jù)處理：指組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。
5.數(shù)據(jù)交換：指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段。

6.數(shù)據(jù)銷毀：指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。

DSMM每個(gè)級(jí)別有什么區(qū)別

DSMM等級(jí)劃分與核心特點(diǎn)如下：
L1非正式執(zhí)行：執(zhí)行非正式過程，隨機(jī)、無序、被動(dòng)執(zhí)行安全過程，依賴個(gè)人經(jīng)驗(yàn)，無法復(fù)制。
L2計(jì)劃跟蹤：在業(yè)務(wù)系統(tǒng)級(jí)別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行，但沒有形成體系化，可驗(yàn)證過程執(zhí)行與計(jì)劃一致，跟蹤、控制執(zhí)行的進(jìn)展。
L3充分定義：在組織級(jí)別實(shí)現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過程進(jìn)行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。
L4量化控制：建立了量化目標(biāo)，安全過程可度量。
L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。

初次申請(qǐng)DSMM可以申請(qǐng)幾級(jí)

申請(qǐng)什么級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來判斷，沒有硬性規(guī)定初次申請(qǐng)級(jí)別的限制。大部分組織適合申請(qǐng)DSMM2級(jí)，DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng)，DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng)，DSMM5級(jí)暫不開放申請(qǐng)。

DSMM評(píng)價(jià)方法

DSMM的評(píng)價(jià)方法主要是評(píng)分制，先對(duì)每個(gè)過程域（PA）的四個(gè)能力維度（BP）進(jìn)行打分，再通過計(jì)算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

哪些企業(yè)適合申請(qǐng)DSMM

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，包括但不限于數(shù)據(jù)運(yùn)營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

申請(qǐng)DSMM，企業(yè)需要哪些部門和角色的參與

涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門（業(yè)務(wù)主管、業(yè)務(wù)處理）、風(fēng)險(xiǎn)管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計(jì)部門等。

證書