DSMM是什么

DSMM是Data Security capability MaturityModel的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實施的GB/T 37988-2019 《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護體系。

為什么需要管理數(shù)據(jù)安全

隨著信息技術(shù)的發(fā)展，人類社會已經(jīng)進入數(shù)字時代，數(shù)據(jù)的指數(shù)級增長已經(jīng)成為常態(tài)。數(shù)據(jù)具有極大的價值變現(xiàn)特點，世界各國都強烈意識到數(shù)據(jù)的重要性。然而，數(shù)據(jù)的價值變現(xiàn)、有效利用的前提是數(shù)據(jù)是安全的，所以，數(shù)據(jù)安全的保護能力，是數(shù)據(jù)有效利用的基礎(chǔ)。2020年4月9日，中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，數(shù)據(jù)首次被作為要素寫入《意見》，要求推進政府?dāng)?shù)據(jù)開放共享，提升社會數(shù)據(jù)資源價值，同時也要加強數(shù)據(jù)資源整合和安全保護，探索建立統(tǒng)一規(guī)范的數(shù)據(jù)管理制度。我國從國家層面，制定了相關(guān)法律法規(guī)，明確要求要合規(guī)、合法、有效的做好數(shù)據(jù)安全的保護。

國家制定了哪些相關(guān)的法律法規(guī)

DCMM 模型定義了數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)治理、數(shù)據(jù)架構(gòu)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)安全、數(shù)據(jù)治理、數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)生存周期八個核心能力域和28個能力項。國家先于企業(yè)和機構(gòu)更早意識到數(shù)據(jù)的價值和數(shù)據(jù)安全的重要性，通過政策或立法的方式，給企業(yè)和個人進行規(guī)范和要求，逐漸培養(yǎng)人們的數(shù)據(jù)安全意識。目前國家制定的數(shù)據(jù)安全相關(guān)法律主要有：

2016年實施的《中華人民共和國網(wǎng)絡(luò)安全法》;

2021年實施的《中華人民共和國數(shù)據(jù)安全法》;

2021年實施的《中華人民共和國個人信息保護法》。

DSMM與ISO27001和等保的區(qū)別

等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全，側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的網(wǎng)絡(luò)系統(tǒng)安全保護。

ISO27001標(biāo)準(zhǔn)是以組織為對象，偏向信息安全管理，側(cè)重于指導(dǎo)組織依據(jù)信息安全風(fēng)險評估的結(jié)果選擇合適的控制措施，設(shè)計構(gòu)建信息安全管理體系。

DSMM標(biāo)準(zhǔn)也是以組織為評估對象，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)。

實施DSMM的意義

DSMM 標(biāo)準(zhǔn)可為組織在不同階段，開展數(shù)據(jù)保護建設(shè)，提供分級別的實踐指南。通過實施DSMM評估，可以：

1、促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作;

2、保障數(shù)據(jù)在組織機構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。

DSMM的架構(gòu)

DSMM的架構(gòu)由四個安全能力維度、七個安全過程維度、五個安全能力等級構(gòu)成。四個安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力;

七個安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計30個過程域;

五個安全能力等級：從低到高依次1至5級。

DSMM每個級別有什么區(qū)別

DSMM等級劃分與核心特點如下：

L1非正式執(zhí)行：執(zhí)行非正式過程，隨機、無序、被動執(zhí)行安全過程，依賴個人經(jīng)驗，無法復(fù)制。

L2計劃跟蹤：在業(yè)務(wù)系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進展。

L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過程進行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。

L4量化控制：建立了量化目標(biāo)，安全過程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進和優(yōu)化組織能力和安全過程有效性。

初次申請DSMM可以申請幾級

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請，DSMM5級暫不開放申請。

DSMM貫標(biāo)流程

Step1：差距分析——Step2：能力建設(shè)——Step3：測量評估。

DSMM評價方法

DSMM的評價方法主要是評分制，先對每個過程域(PA)的四個能力維度(BP)進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

目前國內(nèi)有哪些獲證企業(yè)

目前國內(nèi)的獲證企業(yè)有：

安吉縣大數(shù)據(jù)發(fā)展管理局(三級)

貴州智陽信息技術(shù)有限公司(二級)

貴州中軟云上數(shù)據(jù)技術(shù)服務(wù)有限公司(二級)

國網(wǎng)電商科技有限公司(二級)

國網(wǎng)河北省電力有限公司(三級)

啟明星辰無錫市數(shù)據(jù)安全運營中心(三級)

圣境科技(天津)有限公司(二級)

四川瑞康創(chuàng)新科技有限公司(二級)

天津津投保險經(jīng)紀(jì)有限公司(一級)

天津啟明星辰信息技術(shù)有限公司(二級)

天津神舟通用數(shù)據(jù)技術(shù)有限公司(二級)

天津市前嗅網(wǎng)絡(luò)科技有限公司(一級)

未來電視有限公司(二級)

信通達智能科技有限公司(二級)

云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司(二級)

中交智運有限公司(一級)

中科銳眼(天津)科技有限公司(一級)

中汽數(shù)據(jù)(天津)有限公司(一級)

……

哪些企業(yè)適合申請DSMM

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

申請DSMM，企業(yè)需要哪些部門和角色的參與

涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門(業(yè)務(wù)主管、業(yè)務(wù)處理)、風(fēng)險管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計部門等。

如何核查DSMM證書的有效性和公正性

可通過國家市場監(jiān)督管理總局全國認(rèn)證認(rèn)可信息公共服務(wù)平臺(http://cx.cnca.cn/CertECloud/index/index/page)查詢證書詳情，并核查驗證證書的有效性。

企業(yè)獲取DSMM證書后如何維持證書的有效性

證書有效期為三年，根據(jù)現(xiàn)行評估規(guī)則不需要每年監(jiān)督。證書到期前至少提前三個月申請再認(rèn)證評估。

數(shù)據(jù)安全能力成熟度模型能夠用來衡量一個組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟的發(fā)展。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202303/ccaa_48225.html