DSMM數(shù)據(jù)安全管理能力成熟度是什么?
發(fā)布時間:2025-04-18 點擊:38
近年來,隨著信息技術(shù)和人類生產(chǎn)生活交匯融合,通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種數(shù)據(jù)迅猛增長。海量數(shù)據(jù)聚集并成為重要的市場經(jīng)濟要素,對經(jīng)濟發(fā)展、社會治理、人民生活都產(chǎn)生了重大而深刻的影響。2016年11月頒布的《網(wǎng)絡(luò)安全法》建立了網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)制度,2019年5月《數(shù)據(jù)安全管理辦法》草案公開征求意見,2020年7月《數(shù)據(jù)安全法》草案公開征求意見,由此可見,數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡(luò)安全乃至國家安全法制體系中的核心內(nèi)容之一。
01、DSMM標(biāo)準(zhǔn)介紹
《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019) (以下簡稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn),于2019年8月30日發(fā)布,2020年3月1日正式實施。
DSMM國家標(biāo)準(zhǔn)以組織的數(shù)據(jù)為中心,圍繞數(shù)據(jù)的采集、傳輸存儲、處理、交換、銷毀全生命周期,從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個能力維度,按照1-5級成熟度,評判組織的數(shù)據(jù)安全能力。
02、DCMM評估概述
評估依據(jù)
數(shù)據(jù)安全能力成熟度評估(以下簡稱“DSMM評估”)是依據(jù)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)國家標(biāo)準(zhǔn)和《數(shù)據(jù)安全能力建設(shè)實施指南V1.0》,對組織的數(shù)據(jù)安全開展能力評估。
評估內(nèi)容
DSMM評估以組織為單位,以數(shù)據(jù)為中心,圍繞數(shù)據(jù)的生命周期,對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數(shù)據(jù)安全能力過程域和576個基本實踐。
1)維度一:安全能力(4個關(guān)鍵能力)
安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括:組織建設(shè)、制度流程、技術(shù)工具和人員能力。
2)維度二:能力成熟度等級(5級)
共分為5級,具體包括:1級是非正式執(zhí)行級,2級是計劃跟蹤級,3級是充分定義級,4級是量化控制級,5級是持續(xù)優(yōu)化級。
3)維度三:數(shù)據(jù)安全過程(6+1)
具體包括:數(shù)據(jù)生存周期安全過程(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全)和通用安全過程。
評估對象
DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛,沒有行業(yè)的限制,對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM,包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。
評估目標(biāo)
DSMM評估的目標(biāo)是幫助各企業(yè)和組織基于國家標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力,幫助企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板,提升企業(yè)組織的數(shù)據(jù)安全能力,促進大數(shù)據(jù)在組織間的交換、共享與流轉(zhuǎn),發(fā)揮大數(shù)據(jù)的價值。DSMM將數(shù)據(jù)安全能力劃分為五個等級,級別越高,代表該企業(yè)數(shù)據(jù)安全能力管理方面越優(yōu)秀;級別自低向高依次為:1級-非正式執(zhí)行、2級-計劃跟蹤、3級-充分定義、4級-量化控制、5級-持續(xù)優(yōu)化。
申請什么級別主要依據(jù)企業(yè)的實際情況來判斷,沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級,DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請,DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請,DSMM5級暫不開放申請。
評價方法
DSMM的評價方法主要是評分制,先對每個過程域(PA)的四個能力維度(BP)進行打分,再通過計算平均分、修正分值的方式得到最終的PA分值,最終得到整體的綜合得分。
貫標(biāo)流程
Step1:差距分析——Step2:能力建設(shè)——Step3:測量評估。
評估流程
評估交付物
評估結(jié)果:DSMM標(biāo)準(zhǔn)重點關(guān)注企業(yè)業(yè)務(wù)數(shù)據(jù),以衡量組織機構(gòu)安全能力,全面展示企業(yè)數(shù)據(jù)安全能力項成熟度評估等級。
評估報告:幫助企業(yè)展示數(shù)據(jù)安全能力現(xiàn)狀,識別數(shù)據(jù)安全能力相關(guān)問題,給出評估結(jié)論、詳細評估結(jié)果和階段性安全提升建議等,給出評估等級建議。
評估證書:通過專家評審后,同意給定對應(yīng)數(shù)據(jù)安全能力成熟度等級,并頒發(fā)DSMM證書。
03、需要哪些部門和角色參與?
申請DSMM涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門(業(yè)務(wù)主管、業(yè)務(wù)處理)、風(fēng)險管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計部門等。
04、實施DSMM意義
DSMM標(biāo)準(zhǔn)可為組織在不同階段,開展數(shù)據(jù)保護建設(shè),提供分級別的實踐指南。通過實施DSMM評估,可以:
1、促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平,從數(shù)據(jù)生命周期的角度出發(fā),結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作;
2、保障數(shù)據(jù)在組織機構(gòu)之間安全地交換與共享,充分發(fā)揮數(shù)據(jù)的價值,打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。
05、證書模板
普通破產(chǎn)債權(quán)的種類具體是
變更公司股東流程怎么做
事件樹分析法的適用范圍和分析過程是什么?
去勞動仲裁對公司有什么影響
ISO14001認證相關(guān)管理規(guī)定
ISO14000環(huán)境管理體系認證審核的主要步驟有哪些?
埃塞俄比亞coc認證,CNCA備案COC機構(gòu)查詢
壓路機是否屬于機動機
01、DSMM標(biāo)準(zhǔn)介紹
《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019) (以下簡稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn),于2019年8月30日發(fā)布,2020年3月1日正式實施。
DSMM國家標(biāo)準(zhǔn)以組織的數(shù)據(jù)為中心,圍繞數(shù)據(jù)的采集、傳輸存儲、處理、交換、銷毀全生命周期,從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個能力維度,按照1-5級成熟度,評判組織的數(shù)據(jù)安全能力。
02、DCMM評估概述
評估依據(jù)
數(shù)據(jù)安全能力成熟度評估(以下簡稱“DSMM評估”)是依據(jù)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)國家標(biāo)準(zhǔn)和《數(shù)據(jù)安全能力建設(shè)實施指南V1.0》,對組織的數(shù)據(jù)安全開展能力評估。
評估內(nèi)容
DSMM評估以組織為單位,以數(shù)據(jù)為中心,圍繞數(shù)據(jù)的生命周期,對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數(shù)據(jù)安全能力過程域和576個基本實踐。
1)維度一:安全能力(4個關(guān)鍵能力)
安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括:組織建設(shè)、制度流程、技術(shù)工具和人員能力。
2)維度二:能力成熟度等級(5級)
共分為5級,具體包括:1級是非正式執(zhí)行級,2級是計劃跟蹤級,3級是充分定義級,4級是量化控制級,5級是持續(xù)優(yōu)化級。
3)維度三:數(shù)據(jù)安全過程(6+1)
具體包括:數(shù)據(jù)生存周期安全過程(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全)和通用安全過程。
評估對象
DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛,沒有行業(yè)的限制,對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM,包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。
評估目標(biāo)
DSMM評估的目標(biāo)是幫助各企業(yè)和組織基于國家標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力,幫助企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板,提升企業(yè)組織的數(shù)據(jù)安全能力,促進大數(shù)據(jù)在組織間的交換、共享與流轉(zhuǎn),發(fā)揮大數(shù)據(jù)的價值。DSMM將數(shù)據(jù)安全能力劃分為五個等級,級別越高,代表該企業(yè)數(shù)據(jù)安全能力管理方面越優(yōu)秀;級別自低向高依次為:1級-非正式執(zhí)行、2級-計劃跟蹤、3級-充分定義、4級-量化控制、5級-持續(xù)優(yōu)化。
申請什么級別主要依據(jù)企業(yè)的實際情況來判斷,沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級,DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請,DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請,DSMM5級暫不開放申請。
評價方法
DSMM的評價方法主要是評分制,先對每個過程域(PA)的四個能力維度(BP)進行打分,再通過計算平均分、修正分值的方式得到最終的PA分值,最終得到整體的綜合得分。
貫標(biāo)流程
Step1:差距分析——Step2:能力建設(shè)——Step3:測量評估。
評估流程
評估交付物
評估結(jié)果:DSMM標(biāo)準(zhǔn)重點關(guān)注企業(yè)業(yè)務(wù)數(shù)據(jù),以衡量組織機構(gòu)安全能力,全面展示企業(yè)數(shù)據(jù)安全能力項成熟度評估等級。
評估報告:幫助企業(yè)展示數(shù)據(jù)安全能力現(xiàn)狀,識別數(shù)據(jù)安全能力相關(guān)問題,給出評估結(jié)論、詳細評估結(jié)果和階段性安全提升建議等,給出評估等級建議。
評估證書:通過專家評審后,同意給定對應(yīng)數(shù)據(jù)安全能力成熟度等級,并頒發(fā)DSMM證書。
03、需要哪些部門和角色參與?
申請DSMM涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門(業(yè)務(wù)主管、業(yè)務(wù)處理)、風(fēng)險管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計部門等。
04、實施DSMM意義
DSMM標(biāo)準(zhǔn)可為組織在不同階段,開展數(shù)據(jù)保護建設(shè),提供分級別的實踐指南。通過實施DSMM評估,可以:
1、促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平,從數(shù)據(jù)生命周期的角度出發(fā),結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作;
2、保障數(shù)據(jù)在組織機構(gòu)之間安全地交換與共享,充分發(fā)揮數(shù)據(jù)的價值,打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。
05、證書模板
普通破產(chǎn)債權(quán)的種類具體是
變更公司股東流程怎么做
事件樹分析法的適用范圍和分析過程是什么?
去勞動仲裁對公司有什么影響
ISO14001認證相關(guān)管理規(guī)定
ISO14000環(huán)境管理體系認證審核的主要步驟有哪些?
埃塞俄比亞coc認證,CNCA備案COC機構(gòu)查詢
壓路機是否屬于機動機