数据安全能力成熟度DSMM 认证

数据安全能力成熟度DSMM 认证

         DSMM是Data Security capability Model的英文缩写简称，中文名为：（数据安全能力成熟度模型）。该版本于2019年8月发布、在2020年3月颁发国标GB/T37988-2019(信息安全技术 数据安全能力成熟度模型)为依据的数据安全保护体系。其目的旨在帮助企业组织对核心业务系统所面临的数据安全风险进行发现、识别和定性，帮助企业组织高效地定位自身数据安全短板、为企业组织提出具有针对性的数据安全能力提升路径防范数据安全事件风险，最终帮助企业组织获得数据安全保护能力的成熟度证明，满足国家、行业等安全合规要求。

        目前，数据安全风险已经蔓延到了政府机构、金融行业、医疗机构、教育系统，交通运输等各个领域，给国家数据要素市场的发展带来潜在风险。因此，对于数据安全问题，国家逐步完善立法和监管，为企业构建和完善数据安全保障措施提供依据。积极响应《数据安全法》《个人信息保护法》等国家法律法规要求，在数据处理过程中，设置数据安全责任部门和岗位，完善数据安全制度和流程，升级核心业务数据流转涉及的系统与工具，等保咨询和测评服务过程中的数据处理活动，从组织建设、制度流程、技术工具以及人员能力等4个能力维度进行评估，涵盖30个数据安全能力过程域和94项基本实践。

DSMM数据安全能力成熟度框架体系介绍01：

DSMM数据安全能力成熟度的框架体系由4个安全能力维度、七个安全过程及五个安全能力等级构成。

DSMM四个安全能力包含：组织人员、制度流程、技术工具，人员能力方面等。

DSMM七个安全过程维度包含：数据的采集安全、数据的传输安全，数据的存储安全、数据的处理安全、数据交换安全、数据销毁安全及其它通用的安全部分。

DSMM数据安全能力成熟度五个安全能力等级：依次从低级到高级共分别为1级至5级。

L1 非正式执行级：执行非正式过程，随机，无序，被动执行安全过程，依赖个人的经验不能复制。

L2 计划跟踪级：在业务系统级别主动实现了安全过程的计划和执行，但没有形成体系化可验证过程执行与计划一致，跟踪控制执行的进展。

L3 充分定义级：在组织级别实现了安全过程的规范执行，标准过程进行制度化，过程可重重复执行，执行的结果可核查。

L4 量化控制级：组织建立了量化目标，并在安全过程中可以达到度量。

L5持续优化级：根据组织的整体目标，不断改进和优化组织能力和安全过程有效性。

DSMM 数据安全能力成熟度与信息系统安全等级保护的不同之处

信息系统安全等级保护简称“等保”:

        信息系统安全等级保护标准前期通过系统备案为主要的测评对象，主要偏重于网络安全、其包含网络信息安全、安全建设管理、物理安全等四个方面进行网络安全保护进行测评，测评分优秀、良好等多个级别。

DSMM数据安全能力成熟度标准：

        同样以企业组织作为评估的对象，着重于数据安全生命周期的防护，从4个方面的维度来提出级别，进而帮助组织打造可靠的安全数据架构。信息系统安全等级保护以系统作为对象，覆盖的领域范围为管理及技术人员，主要以系统防护为措施参考等保实践指南。DSMM据安全能力成熟度则主要覆盖数据安全领域以管理人员、技术人员为主要对象同时参照实践指南。