數據安全能力成熟度認證(DSMM)

一、業務簡介

在全球信息化進入全面滲透、跨界融合、加速創新、引領發展的大趨勢下，數據呈現爆發增長，也帶來了前所未有的風險與安全挑戰，對數據的掌控能力日益成為衡量國家競爭力的關鍵因素，數據安全成為大國博弈的戰場之一。GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》（以下簡稱DSMM）適用于對組織數據安全能力進行評估，也可作為組織開展數據安全能力建設時的依據。。

數據安全能力成熟度認證是依據《信息安全技術 數據安全能力成熟度模型》標準（GB/T 37988-2019），以組織的數據為中心，圍繞數據的采集、傳輸、存儲、處理、交換、銷毀全生命周期，從組織建設、制度流程、技術工具、人員能力4個能力維度，按照1-5級成熟度，評判組織的數據安全能力。

數據安全能力成熟度模型（DSMM）的模型架構由以下三個維度構成（如圖A.1所示）：

a)安全能力維度

安全能力維度明確了組織在數據安全領域應具備的能力，包括組織建設、制度流程、技術工具 和人員能力。

b) 能力成熟度等級維度

數據安全能力成熟度等級劃分為五級，具體包括：1級是非正式執行級：2級是計劃跟蹤級，3 級是充分定義級，4級是量化控制級，5級是持續優化級。

c)數據安全過程維

1)數據安全過程包括數據生存周期安全過程和通用安全過程；

2)數據生存周期安全過程具體包括：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全6個階段。

二、業務價值 

 1、理清企業數據安全現狀，發現企業和組織的數據安全能力短板。2、帶來差異化競爭力：數據安全能力成熟度的認證能向企業的客戶及合作伙伴表明組織保障數據安全的能力，令其對組織的信心加強，有助于增加組織在同行業內的競爭優勢，穩固市場地位。3、減少可能的損失：數據安全能力的提升，能在一定程度上降低數據安全事件給組織帶來的不良聲譽影響和可能的經濟損失。增強員工的意識和相關技能：提升組織數據安全管理人員的技能，增強全體員工的數據安全意識。4、確保已建立的數據安全保障體系有效運轉和持續提升，從而整體上提升企業的數據安全水平。5、從數據的安全保護、合規使用到數據的開發利用，數據安全能力成熟度的認證和持續監督審核是組織數據安全的體檢措施，能為數據生產要素價值的實現打好基礎。

三、業務流程

認證分兩個階段：

檢驗階段：評估組對組織建設、制度流程、技術工具、人員能力檢進行服務特性檢驗，根據檢驗結果，出具評估報告，給出建議的等級；

驗證/確認階段審查，審查員對評估報告、企業自評估表及其他必要的相關資料進行文件審查，文件審查完成后，到企業進行現場審查，來驗證和確認服務能力，出具現場評價報告。最后對上述階段所有資料進行評定，做出認證決定。