《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)、簡稱DSMM(Data Security Maturity Model)于2019年正式成為國標(biāo)并對外發(fā)布。

該標(biāo)準(zhǔn)旨在助力提升全社會、全行業(yè)的數(shù)據(jù)安全水位，其發(fā)布也填補了行業(yè)在數(shù)據(jù)安全能力成熟度評估標(biāo)準(zhǔn)方面的空白，為組織機構(gòu)評估自身數(shù)據(jù)安全能力，提供了科學(xué)依據(jù)和參考。

此國標(biāo)于2020年3月起正式實施，正式發(fā)布前，這項標(biāo)準(zhǔn)已在全國23個行業(yè)、40多家企業(yè)試點。

“數(shù)據(jù)安全是組織機構(gòu)信息安全體系的重要環(huán)節(jié)，然而許多組織機構(gòu)并不充分了解自身的數(shù)據(jù)安全能力，行業(yè)內(nèi)缺乏一套評估組織機構(gòu)數(shù)據(jù)安全能力的標(biāo)準(zhǔn)規(guī)范。”阿里巴巴集團數(shù)據(jù)安全總監(jiān)徐駿稱，DSMM能夠幫助各行業(yè)、組織機構(gòu)基于統(tǒng)一標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力，發(fā)現(xiàn)數(shù)據(jù)安全能力短板，查漏補缺，最終提升互聯(lián)網(wǎng)行業(yè)的整體安全管理水平和產(chǎn)業(yè)競爭力，促進數(shù)字經(jīng)濟發(fā)展。

阿里巴巴基于自身數(shù)據(jù)安全實踐，沉淀總結(jié)了數(shù)據(jù)安全能力成熟度模型，根據(jù)數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力四方面評估數(shù)據(jù)安全能力等級，助力提升行業(yè)整體數(shù)據(jù)安全水平。

該標(biāo)準(zhǔn)是基于阿里巴巴多年的數(shù)據(jù)安全實踐，形成行業(yè)共識后提煉總結(jié)。阿里巴巴標(biāo)準(zhǔn)化部總經(jīng)理朱紅儒介紹，DSMM也充分參考了國際上相關(guān)標(biāo)準(zhǔn)和經(jīng)驗，根據(jù)數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力四方面評估數(shù)據(jù)安全能力等級。

標(biāo)準(zhǔn)將數(shù)據(jù)安全能力分為“非正式執(zhí)行”、“計劃跟蹤”、“充分定義”、“量化控制”和“持續(xù)優(yōu)化”5個等級，第三等級是各個企業(yè)的基礎(chǔ)目標(biāo)，等級越高，代表被測評的組織機構(gòu)數(shù)據(jù)安全能力越強。

本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具以及人員能力四個方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級模型及其評估方法。本標(biāo)準(zhǔn)適用于組織機構(gòu)數(shù)據(jù)安全能力的自身評估，也適用于第三方機構(gòu)對組織機構(gòu)的數(shù)據(jù)安全保障能力進行評估。本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想，以CMM的通用實踐來衡量能力成熟度等級，以《要求》中的安全要求為基礎(chǔ)，定義數(shù)據(jù)安全過程域和基本實踐，指導(dǎo)組織機構(gòu)如何持續(xù)達到所對應(yīng)的安全要求。

本標(biāo)準(zhǔn)主要根據(jù)《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(以下簡稱為《要求》)中的數(shù)據(jù)安全要求對組織機構(gòu)?供的數(shù)據(jù)安全能力?出評估的模型框架及方法論?！兑蟆分卸x了大數(shù)據(jù)服務(wù)?供者應(yīng)具有的組織相關(guān)基礎(chǔ)安全能力和數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力，本標(biāo)準(zhǔn)針對《要求》中定義的每個安全要求定義基本實踐，并根據(jù)本標(biāo)準(zhǔn)定義的成熟度等級的通用實踐，對基本實踐進行等級評估。

本標(biāo)準(zhǔn)闡述了數(shù)據(jù)安全能力評估的成熟度模型及方法論，在過程域?qū)用媾c《要求》完全一致，在基本實踐層面與《要求》進行映射，兩標(biāo)準(zhǔn)可以相互支撐調(diào)用。《要求》中定義了大數(shù)據(jù)服務(wù)?供者?供大數(shù)據(jù)服務(wù)所需要滿足的基線要求，本標(biāo)準(zhǔn)定義了組織機構(gòu)持續(xù)實現(xiàn)安全過程、滿足安全要求的能力等級的評估方法，來指導(dǎo)組織機構(gòu)?升自身的數(shù)據(jù)安全能力水平。

數(shù)據(jù)安全能力成熟度模型（DS-CMM）的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示)：

——數(shù)據(jù)生命周期安全：圍繞數(shù)據(jù)生命周期，?煉出大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對數(shù)據(jù)生命周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。

——安全能力維度：明確組織機構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度，明確為組織建設(shè)、制度流程、技術(shù)工具和人員能力四個關(guān)鍵能力的維度。

——能力成熟度等級：基于統(tǒng)一的分級標(biāo)準(zhǔn)，細化組織機構(gòu)在各數(shù)據(jù)安全過程域的五個級別的能力成熟度分級要求。

數(shù)據(jù)生命周期安全

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況，定義數(shù)據(jù)生命周期的6個階段，具體各階段的定義如下：

——數(shù)據(jù)采集：指在組織機構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。

——數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構(gòu)內(nèi)部從一個實體通過網(wǎng)絡(luò)流動到另一個實體的階段。

——數(shù)據(jù)存儲：指數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。

——數(shù)據(jù)處理：指組織機構(gòu)在內(nèi)部針對數(shù)據(jù)進行計算、分析、可視化等操作的階段。

——數(shù)據(jù)交換：指數(shù)據(jù)由組織機構(gòu)與外部組織機構(gòu)及個人交互的階段。

——數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的存儲介質(zhì)通過相應(yīng)的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。

組織機構(gòu)的數(shù)據(jù)安全能力成熟度模型分為五個成熟度等級，一級是非正式執(zhí)行級，二級是計劃跟蹤級，三級是充分定義級，四級是量化控制級，五級是持續(xù)改進級。能力級別從一級至五級逐級?高，標(biāo)志著組織機構(gòu)的數(shù)據(jù)安全保障能力的成熟度不斷?升。每個級別規(guī)定了對應(yīng)的公共特征和通用實踐。

安全能力維度

通過對各項安全過程所需具備安全能力的量化，可供組織機構(gòu)評估每項安全過程的實現(xiàn)能力。安全能力從組織建設(shè)、制度流程、技術(shù)工具及人員能力四個維度展開。

——組織建設(shè)：數(shù)據(jù)安全組織機構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。

——制度流程：組織機構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)。

——技術(shù)工具：通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動化實現(xiàn)安全工作。

——人員能力：執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力。

目前DSMM的評估機構(gòu)除了數(shù)據(jù)安全認證(貴州)有限公司以外，賽寶、中國信通院也都獲取了評估資格，并可在國家認監(jiān)委官網(wǎng)進行公示!

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標(biāo)準(zhǔn)等信息，中企檢測認證網(wǎng)為檢測認證商標(biāo)專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202303/ccaa_48228.html