國家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)，簡稱“DSMM”，DSMM評估以組織為單位，以數(shù)據(jù)為中心，圍繞數(shù)據(jù)的生命周期，對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)安全能力維度進(jìn)行評估，涵蓋5個(gè)等級、7個(gè)數(shù)據(jù)安全過程維度。5個(gè)級別，級別越高，代表該企業(yè)數(shù)據(jù)安全能力管理方面越優(yōu)秀；級別自低向高依次為：1級-非正式執(zhí)行、2級-計(jì)劃跟蹤、3級-充分定義、4級-量化控制、5級-持續(xù)優(yōu)化。

DSMM概述

DSMM的評估內(nèi)容和方式是什么？

DSMM標(biāo)準(zhǔn)將數(shù)據(jù)安全過程分為數(shù)據(jù)生存周期安全過程和通用安全過程，覆蓋數(shù)據(jù)從采集、傳輸、存儲(chǔ)、處理、交換到銷毀的全生命周期，以及規(guī)劃、組織、人員、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施等通用安全管理要求，共有30個(gè)評估過程域，并以此為抓手，為企業(yè)提供全面的數(shù)據(jù)安全能力分析和改進(jìn)建議。企業(yè)可以根據(jù)評估結(jié)果，有針對性地優(yōu)化數(shù)據(jù)安全管理流程和措施，提升整體安全水平。

數(shù)據(jù)安全過程域體系

DSMM的評價(jià)方法主要是評分制，先對每個(gè)過程域的四個(gè)能力維度進(jìn)行打分，再通過計(jì)算平均分、修正分值的方式，最終得到整體的綜合得分。

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM。

DSMM評估的目標(biāo)是幫助各企業(yè)和組織基于國家標(biāo)準(zhǔn)來評估其數(shù)據(jù)安全能力，幫助企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，提升企業(yè)組織的數(shù)據(jù)安全能力，促進(jìn)數(shù)據(jù)在組織間的交換、共享與流轉(zhuǎn)，發(fā)揮大數(shù)據(jù)的價(jià)值。

DSMM貫標(biāo)工作可為組織在不同階段開展數(shù)據(jù)保護(hù)建設(shè)提供分級別的實(shí)踐指南，促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平，推動(dòng)組織更好地開展數(shù)據(jù)安全保障工作，保障數(shù)據(jù)在組織機(jī)構(gòu)之間安全地交換與共享，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。

DSMM評估認(rèn)證的等級如何確定？

DSMM評估認(rèn)證需要企業(yè)或組織首先確定本次提交認(rèn)證且展示在證書上的數(shù)據(jù)處理活動(dòng)，并根據(jù)該數(shù)據(jù)處理活動(dòng)的安全情況開展管理能力與等級的初步判斷。

申請的等級認(rèn)定主要依據(jù)企業(yè)的實(shí)際情況來判斷，無硬性規(guī)定。大部分組織適合申請DSMM 2級，DSMM 3級適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請，DSMM 4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請，DSMM 5級暫不開放申請。

DSMM評估的結(jié)果及交付物是什么？

DSMM評估結(jié)束后，評估機(jī)構(gòu)會(huì)交付給被評估單位一份評估報(bào)告，用于幫助企業(yè)展示數(shù)據(jù)安全能力現(xiàn)狀，識(shí)別數(shù)據(jù)安全能力相關(guān)問題，包括評估結(jié)論、詳細(xì)評估結(jié)果和階段性安全提升建議等，并給出評估等級建議。評估報(bào)告通過專家評審、確定對應(yīng)數(shù)據(jù)安全能力成熟度等級后，發(fā)證機(jī)構(gòu)會(huì)向被評估單位頒發(fā)DSMM證書。

DSMM評估過程需要哪些部門和角色參與？

申請DSMM評估通常涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門（業(yè)務(wù)主管、業(yè)務(wù)處理）、風(fēng)險(xiǎn)管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計(jì)部門等。

在申請DSMM評估前還可以做哪些“加分”準(zhǔn)備？

企業(yè)或組織在申請DSMM評估前可以通過第三方認(rèn)證咨詢機(jī)構(gòu)開展專業(yè)和定制化的評估咨詢工作，查缺補(bǔ)漏，提升自身數(shù)據(jù)安全能力，以順利完成等級評估目標(biāo)。

DSMM價(jià)值作用

● 促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作；

● 保障數(shù)據(jù)在組織機(jī)構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價(jià)值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境；

● 衡量組織的數(shù)據(jù)安全能力成熟度水平，幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板；

● 相關(guān)主管部門可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍；

● 提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。

什么樣的企業(yè)更適合申請DSMM貫標(biāo)認(rèn)證？

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運(yùn)營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。證書自頒發(fā)之日起有效期3年。