數(shù)據(jù)安全能力成熟度認(rèn)證(DSMM)

一、業(yè)務(wù)簡(jiǎn)介

在全球信息化進(jìn)入全面滲透、跨界融合、加速創(chuàng)新、引領(lǐng)發(fā)展的大趨勢(shì)下，數(shù)據(jù)呈現(xiàn)爆發(fā)增長(zhǎng)，也帶來(lái)了前所未有的風(fēng)險(xiǎn)與安全挑戰(zhàn)，對(duì)數(shù)據(jù)的掌控能力日益成為衡量國(guó)家競(jìng)爭(zhēng)力的關(guān)鍵因素，數(shù)據(jù)安全成為大國(guó)博弈的戰(zhàn)場(chǎng)之一。GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（以下簡(jiǎn)稱DSMM）適用于對(duì)組織數(shù)據(jù)安全能力進(jìn)行評(píng)估，也可作為組織開(kāi)展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)。。

數(shù)據(jù)安全能力成熟度認(rèn)證是依據(jù)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》標(biāo)準(zhǔn)（GB/T 37988-2019），以組織的數(shù)據(jù)為中心，圍繞數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)能力維度，按照1-5級(jí)成熟度，評(píng)判組織的數(shù)據(jù)安全能力。

數(shù)據(jù)安全能力成熟度模型（DSMM）的模型架構(gòu)由以下三個(gè)維度構(gòu)成（如圖A.1所示）：

a)安全能力維度

安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力，包括組織建設(shè)、制度流程、技術(shù)工具 和人員能力。

b) 能力成熟度等級(jí)維度

數(shù)據(jù)安全能力成熟度等級(jí)劃分為五級(jí)，具體包括：1級(jí)是非正式執(zhí)行級(jí)：2級(jí)是計(jì)劃跟蹤級(jí)，3 級(jí)是充分定義級(jí)，4級(jí)是量化控制級(jí)，5級(jí)是持續(xù)優(yōu)化級(jí)。

c)數(shù)據(jù)安全過(guò)程維

1)數(shù)據(jù)安全過(guò)程包括數(shù)據(jù)生存周期安全過(guò)程和通用安全過(guò)程；

2)數(shù)據(jù)生存周期安全過(guò)程具體包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個(gè)階段。

二、業(yè)務(wù)價(jià)值 

 1、理清企業(yè)數(shù)據(jù)安全現(xiàn)狀，發(fā)現(xiàn)企業(yè)和組織的數(shù)據(jù)安全能力短板。2、帶來(lái)差異化競(jìng)爭(zhēng)力：數(shù)據(jù)安全能力成熟度的認(rèn)證能向企業(yè)的客戶及合作伙伴表明組織保障數(shù)據(jù)安全的能力，令其對(duì)組織的信心加強(qiáng)，有助于增加組織在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì)，穩(wěn)固市場(chǎng)地位。3、減少可能的損失：數(shù)據(jù)安全能力的提升，能在一定程度上降低數(shù)據(jù)安全事件給組織帶來(lái)的不良聲譽(yù)影響和可能的經(jīng)濟(jì)損失。增強(qiáng)員工的意識(shí)和相關(guān)技能：提升組織數(shù)據(jù)安全管理人員的技能，增強(qiáng)全體員工的數(shù)據(jù)安全意識(shí)。4、確保已建立的數(shù)據(jù)安全保障體系有效運(yùn)轉(zhuǎn)和持續(xù)提升，從而整體上提升企業(yè)的數(shù)據(jù)安全水平。5、從數(shù)據(jù)的安全保護(hù)、合規(guī)使用到數(shù)據(jù)的開(kāi)發(fā)利用，數(shù)據(jù)安全能力成熟度的認(rèn)證和持續(xù)監(jiān)督審核是組織數(shù)據(jù)安全的體檢措施，能為數(shù)據(jù)生產(chǎn)要素價(jià)值的實(shí)現(xiàn)打好基礎(chǔ)。

三、業(yè)務(wù)流程

認(rèn)證分兩個(gè)階段：

檢驗(yàn)階段：評(píng)估組對(duì)組織建設(shè)、制度流程、技術(shù)工具、人員能力檢進(jìn)行服務(wù)特性檢驗(yàn)，根據(jù)檢驗(yàn)結(jié)果，出具評(píng)估報(bào)告，給出建議的等級(jí)；

驗(yàn)證/確認(rèn)階段審查，審查員對(duì)評(píng)估報(bào)告、企業(yè)自評(píng)估表及其他必要的相關(guān)資料進(jìn)行文件審查，文件審查完成后，到企業(yè)進(jìn)行現(xiàn)場(chǎng)審查，來(lái)驗(yàn)證和確認(rèn)服務(wù)能力，出具現(xiàn)場(chǎng)評(píng)價(jià)報(bào)告。最后對(duì)上述階段所有資料進(jìn)行評(píng)定，做出認(rèn)證決定。