DSMM数据安全能力成熟度简介

在国家政策的大力扶持下,DSMM认证也被更多的企业熟知,但对于DSMM认证的评估申请流程以及具体内容,不少企业还是一知半解甚至并不了解,今天擎标就带大家深入了解一下DSMM认证。
一、DSMM认证是什么
DSMM(Data Security capability MaturityModel)认证是我国首个依据国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)开展的数据安全认证,中文名为数据安全能力成熟度模型。该标准是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,是国内第一个数据安全标准认证。
二、DSMM的架构

DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。

图片1

四个安全能力维度包括:组织建设、制度流程、技术工具、人员能力;
七个安全过程维度包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
五个安全能力等级划分
DSMM将数据安全能力划分为五个等级,级别越高,代表该企业数据安全能力管理方面越优秀,用以评判组织的数据安全能力。
等级划分与核心特点如下:
L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。
L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
L4量化控制:建立了量化目标,安全过程可度量。

L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。

图片2

没有强制硬性规定初次申请级别的限制。大部分组织都适合申请DSMM2级认证,DSMM3级适合具有较高数据安全实践水平的组织申请。DSMM4级适合在数据安全领域建设水平领先的组织申请。最高级DSMM5级目前暂不开放申请。   

三、DSMM评估适用对象 
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
四、DSMM评估涉及的部门和角色  
申请DSMM涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。
五、实施DSMM的意义

1、理清企业数据安全现状,发现企业和组织的数据安全能力短板。
2、带来差异化竞争力:数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力,令其对组织的信心加强,有助于增加组织在同行业内的竞争优势,稳固市场地位。
3、减少可能的损失:数据安全能力的提升,能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能:提升组织数据安全管理人员的技能,增强全体员工的数据安全意识。
4、确保已建立的数据安全保障体系有效运转和持续提升,从而整体上提升企业的数据安全水平。
5、从数据的安全保护、合规使用到数据的开发利用,数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施,能为数据生产要素价值的实现打好基础。
六、DSMM对企业的价值
1、保障数据资产安全
企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
2、降低数据安全事故风险
数据安全能力体系的建设不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
3、扩大企业知名度
组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。
4、提升企业行业竞争力
通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。

七、证书样本

图片3

DSMM证书有效期为三年,根据现行评估规则不需要每年进行年度监督审核。DSMM证书到期前至少提前6个月申请再认证评估。
擎标长期深耕数据管理领域,开展数据管理、数字化转型咨询服务等,组建了专业的DSMM评估咨询团队,为参评企业提供优质、高效、便捷的全流程评估咨询服务。如果您要了解更多资讯,欢迎联系在线客服。