在当今信息化和数字化的时代,数据已成为企业资产的重要组成部分,承载着企业与组织的核心价值和竞争力。然而,随着数字化进程的加速推进,数据安全问题也日益凸显,面临着来自内部和外部的多重威胁与挑战。为了有效保障数据的完整性、可靠性和保密性,提升组织的数据安全能力势在必行。
在这样的背景下,DSMM(数据安全能力成熟度模型)应运而生。早在2019年,我国就出台了国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)(简称“DSMM”),这也是我国首部数据安全管理的国家标准。DSMM作为一种系统性评估和提升组织数据安全能力的框架,不仅帮助企业全面了解其数据安全状况,更能够识别潜在风险和漏洞,制定有效的安全策略和措施。中国信通院上海工创中心将从DSMM的基本概念、优势以及适用范围等方面进行相关解读。
DSMM评估框架概述
国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),简称“DSMM”,以组织数据为中心,围绕数据生存周期安全过程和通用安全过程,从组织建设、制度流程、技术工具、人员能力4个能力维度,将数据安全能力划分为五个等级(五个级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。),级别越高,代表该企业数据安全能力管理方面越优秀,以评判组织的数据安全能力。
DSMM的评估内容和方式是什么?
DSMM标准将数据安全过程分为数据生存周期安全过程和通用安全过程,覆盖数据从采集、传输、存储、处理、交换到销毁的全生命周期,以及规划、组织、人员、网络安全与基础设施等通用安全管理要求,共有30个评估过程域,并以此为抓手,为企业提供全面的数据安全能力分析和改进建议。企业可以根据评估结果,有针对性地优化数据安全管理流程和措施,提升整体安全水平。
DSMM的评价方法主要是评分制,先对每个过程域的四个能力维度进行打分,再通过计算平均分、修正分值的方式,最终得到整体的综合得分。
什么样的企业更适合申请DSMM贯标认证?
任何关注数据安全的企业和组织都可以使用DSMM进行评估和提升。特别是那些面临着大量敏感数据处理和存储的行业,如金融、医疗、电商等,更需要通过DSMM来确保数据的安全和合规性。
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM。
DSMM评估的目标是帮助各企业和组织基于国家标准来评估其数据安全能力,帮助企业和组织发现数据安全能力短板,提升企业组织的数据安全能力,促进数据在组织间的交换、共享与流转,发挥大数据的价值。
DSMM贯标工作可为组织在不同阶段开展数据保护建设提供分级别的实践指南,促进组织机构了解并提升自身的数据安全水平,推动组织更好地开展数据安全保障工作,保障数据在组织机构之间安全地交换与共享,打造更安全的大数据应用环境。
DSMM评估认证的等级如何确定?
DSMM评估认证需要企业或组织首先确定本次提交认证且展示在证书上的数据处理活动,并根据该数据处理活动的安全情况开展管理能力与等级的初步判断。
申请的等级认定主要依据企业的实际情况来判断,无硬性规定。大部分组织适合申请DSMM 2级,DSMM 3级适合具有较高数据安全实践水平的组织申请,DSMM 4级适合在数据安全领域建设水平领先的组织申请,DSMM 5级暂不开放申请。
DSMM评估的结果及交付物是什么?
DSMM评估结束后,评估机构会交付给被评估单位一份评估报告,用于帮助企业展示数据安全能力现状,识别数据安全能力相关问题,包括评估结论、详细评估结果和阶段性安全提升建议等,并给出评估等级建议。评估报告通过专家评审、确定对应数据安全能力成熟度等级后,发证机构会向被评估单位颁发DSMM证书。
DSMM评估过程需要哪些部门和角色参与?
申请DSMM评估通常涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。
在申请DSMM评估前还可以做哪些“加分”准备?
企业或组织在申请DSMM评估前可以通过第三方认证咨询机构开展专业和定制化的评估咨询工作,查缺补漏,提升自身数据安全能力,以顺利完成等级评估目标。
