1、數(shù)據(jù)安全認(rèn)證背景概述

數(shù)據(jù)安全認(rèn)證是為了保護個人和機構(gòu)的敏感信息和數(shù)據(jù)不受未經(jīng)授權(quán)的訪問和利用。在當(dāng)今數(shù)字化的社會中，大量的個人和商業(yè)數(shù)據(jù)都存儲在網(wǎng)絡(luò)和云端，因此數(shù)據(jù)安全認(rèn)證成為了非常重要的一環(huán)。通過數(shù)據(jù)安全認(rèn)證，可以確保數(shù)據(jù)的保密性、完整性和可用性，防止數(shù)據(jù)泄露、篡改和丟失，保護個人隱私和商業(yè)機密，維護數(shù)據(jù)的合法使用和共享。數(shù)據(jù)安全認(rèn)證也有助于提高用戶和客戶對數(shù)據(jù)安全的信任和滿意度，增強企業(yè)的競爭力和可信度，并提高企業(yè)在法律法規(guī)方面的合規(guī)性，增強企業(yè)的信譽和可持續(xù)發(fā)展能力。因此，數(shù)據(jù)安全認(rèn)證是保障信息安全和網(wǎng)絡(luò)安全的重要手段，對個人和組織都具有重要意義。

2、DSMM評估介紹

2.1評估概述

DSMM(Data Security capability MaturityModel)認(rèn)證是我國首個依據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)開展的數(shù)據(jù)安全認(rèn)證，該標(biāo)準(zhǔn)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn)，是國內(nèi)第一個數(shù)據(jù)安全標(biāo)準(zhǔn)認(rèn)證，于2019年8月30日發(fā)布，2020年3月1日正式實施。

2.2 評估依據(jù)

DSMM認(rèn)證評估是依據(jù)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)國家標(biāo)準(zhǔn)和《數(shù)據(jù)安全能力建設(shè)實施指南V1.0》，對組織的數(shù)據(jù)安全開展能力評估。

2.3 評估內(nèi)容

DSMM評估以組織為單位，以數(shù)據(jù)為中心，圍繞四個安全能力維度、七個安全過程維度、五個安全能力等級評價組織的數(shù)據(jù)安全能力。

四個能力維度：組織建設(shè)、制度流程、技術(shù)工具、人員能力。

七個安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計30個數(shù)據(jù)安全能力過程域和576個基本實踐;

五個安全能力等級：從低到高依次1至5級。

DSMM架構(gòu)圖

DSMM數(shù)據(jù)安全PA體系

數(shù)據(jù)生命周期

2.4、申請什么級別

申請什么認(rèn)證的級別主要依據(jù)企業(yè)的實際情況來判斷，沒有強制硬性規(guī)定初次申請級別的限制。大部分組織都適合申請DSMM2級認(rèn)證，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請。DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請。最高級DSMM5級目前暫不開放申請。

DSMM能力等級劃分

2.5、貫標(biāo)咨詢流程

貫標(biāo)咨詢流程

2.6、 評估流程

DSMM評估流程

2.7、涉及的部門

管理層

高層管理層，主要了解公司有沒有相應(yīng)的數(shù)據(jù)安全策略和方針，以及對組織設(shè)置的建議，涉及到后面的組織能力建設(shè)工作以及數(shù)據(jù)安全戰(zhàn)略規(guī)劃有沒有相應(yīng)的預(yù)算。如果公司本身是把數(shù)據(jù)安全劃到 IT 安全和信息安全和網(wǎng)絡(luò)安全里面，是很小的一塊，推動數(shù)據(jù)安全的能力建設(shè)就會有比較大的阻力，因為不是公司目前的一個重要重點工作。

研發(fā)部門

主要需了解系統(tǒng)業(yè)務(wù)定位、系統(tǒng)架構(gòu)、業(yè)務(wù)數(shù)據(jù)范圍及數(shù)據(jù)采集、傳輸、處理、交換過程中的數(shù)據(jù)安全保護建設(shè)情況等內(nèi)容。

以及要了解重要的業(yè)務(wù)和系統(tǒng)，在整個生命周期什么位置，比如說它是屬于采集環(huán)節(jié)，還是屬于數(shù)據(jù)處理環(huán)節(jié)?然后對重要的系統(tǒng)，要了解系統(tǒng)主要的用戶，用戶的規(guī)模大概多少，數(shù)據(jù)的模型架構(gòu)，內(nèi)部數(shù)據(jù)的流轉(zhuǎn)情況，以及它與外部系統(tǒng)的之間的數(shù)據(jù)關(guān)系;

要了解業(yè)務(wù)數(shù)據(jù)的流轉(zhuǎn)過程，包括在采集環(huán)節(jié)，采集的方式、渠道范圍，合規(guī)性的控制。數(shù)據(jù)在傳輸環(huán)節(jié)要備份恢復(fù)，能夠傳輸加密。數(shù)據(jù)處理環(huán)節(jié)就要了解這個系統(tǒng)數(shù)據(jù)處理和數(shù)據(jù)分析的功能有哪些?有沒有一些脫敏的場景和脫敏的規(guī)則，以及數(shù)據(jù)后臺的數(shù)據(jù)管理是怎么運作的?它的功能有哪些?

業(yè)務(wù)部門

需要了從業(yè)務(wù)部門了解業(yè)務(wù)目標(biāo)和需求，數(shù)據(jù)和信息資源，業(yè)務(wù)流程和日常工作如何開展。通過歷史業(yè)務(wù)流程審批的留痕材料，驗證數(shù)據(jù)安全的實際開展情況。

運維部門

需要了解網(wǎng)絡(luò)架構(gòu)、安全要求、安全技術(shù)工具及數(shù)據(jù)存儲、數(shù)據(jù)銷毀過程、數(shù)據(jù)安全保護建設(shè)情況等內(nèi)容。

2.8 評估方式

DSMM評估方式主要包括人員訪談、文檔審核、配置檢查、工具測試、旁站式驗證等方式，具體情況如下：

文檔審核：由被評價組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項。

配置檢查：根據(jù)被審核方提供的技術(shù)材料，登陸相關(guān)的系統(tǒng)工具 平臺，檢査配置是否與材料保持一致，對文檔審核內(nèi)容進行核實。

工具測試：利用技術(shù)工具對系統(tǒng)工具進行測試，驗證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術(shù) 能力要求，也可采信第三方的測試報告。

旁站式驗證：審核人員在現(xiàn)場通過實地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識、業(yè)務(wù)操作、管理程序等方面的安全情況。

人員訪談：通過訪談的方式與被審核方進行交流、討論 等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。

2.9 評估交付物

評估結(jié)果：DSMM標(biāo)準(zhǔn)重點關(guān)注企業(yè)業(yè)務(wù)數(shù)據(jù)，以衡量組織機構(gòu)安全能力，全面展示企業(yè)數(shù)據(jù)安全能力項成熟度評估等級。

評估報告：幫助企業(yè)展示數(shù)據(jù)安全能力現(xiàn)狀，識別數(shù)據(jù)安全能力相關(guān)問題，給出評估結(jié)論、詳細評估結(jié)果和階段性安全提升建議等，給出評估等級建議。

DSMM評估報告(樣例)

DSMM過程域能力等級分布情況(樣例)

2.10 DSMM證書

百度通過DSMM認(rèn)證證書

DSMM證書有效期為三年，根據(jù)現(xiàn)行評估規(guī)則不需要每年進行年度監(jiān)督審核。DSMM證書到期前至少提前6個月申請再認(rèn)證評估。

3、DSMM評估價值

1、理清企業(yè)數(shù)據(jù)安全現(xiàn)狀，發(fā)現(xiàn)企業(yè)和組織的數(shù)據(jù)安全能力短板。

2、帶來差異化競爭力：數(shù)據(jù)安全能力成熟度的認(rèn)證能向企業(yè)的客戶及合作伙伴表明組織保障數(shù)據(jù)安全的能力，令其對組織的信心加強，有助于增加組織在同行業(yè)內(nèi)的競爭優(yōu)勢，穩(wěn)固市場地位。

3、減少可能的損失：數(shù)據(jù)安全能力的提升，能在一定程度上降低數(shù)據(jù)安全事件給組織帶來的不良聲譽影響和可能的經(jīng)濟損失。增強員工的意識和相關(guān)技能：提升組織數(shù)據(jù)安全管理人員的技能，增強全體員工的數(shù)據(jù)安全意識。

4、確保已建立的數(shù)據(jù)安全保障體系有效運轉(zhuǎn)和持續(xù)提升，從而整體上提升企業(yè)的數(shù)據(jù)安全水平。

5、從數(shù)據(jù)的安全保護、合規(guī)使用到數(shù)據(jù)的開發(fā)利用，數(shù)據(jù)安全能力成熟度的認(rèn)證和持續(xù)監(jiān)督審核是組織數(shù)據(jù)安全的體檢措施，能為數(shù)據(jù)生產(chǎn)要素價值的實現(xiàn)打好基礎(chǔ)。

4、 DSMM評估適用對象

數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險業(yè)、證券行業(yè)、電子商務(wù)平臺、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

數(shù)據(jù)方案提供方：數(shù)據(jù)開發(fā)/運營商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

5、已認(rèn)證單位

北京百度網(wǎng)訊科技有限公司(四級)

江蘇云學(xué)堂網(wǎng)絡(luò)科技有限公司(三級 )

安吉縣大數(shù)據(jù)發(fā)展管理局(三級)

國網(wǎng)河北省電力有限公司(三級)

啟明星辰無錫市數(shù)據(jù)安全運營中心(三級)

中國煙草總公司貴州省公司 (二級)

貴州智陽信息技術(shù)有限公司(二級)

貴州中軟云上數(shù)據(jù)技術(shù)服務(wù)有限公司(二級)

國網(wǎng)電商科技有限公司(二級)

天津啟明星辰信息技術(shù)有限公司(二級)

天津神舟通用數(shù)據(jù)技術(shù)有限公司(二級)

圣境科技(天津)有限公司(二級)

未來電視有限公司(二級)

信通達智能科技有限公司(二級)

云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司(二級)

四川瑞康創(chuàng)新科技有限公司(二級)

天津津投保險經(jīng)紀(jì)有限公司(一級)

天津市前嗅網(wǎng)絡(luò)科技有限公司(一級)

中交智運有限公司(一級)

中科銳眼(天津)科技有限公司(一級)

中汽數(shù)據(jù)(天津)有限公司(一級)

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202402/ccaa_60302.html