[新闻]一文读懂数据安全能力成熟度评估模型

     DSMM认证，也称为数据管理能力成熟度评估，也有地方称为《数据安全能力成熟度模型》（GB/T 37988—2019，DSMM）认证。

       近年来，随着信息技术和人类生产生活交汇融合，通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。

      中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示，我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年36.2%。

      可见，数字经济已成为我国国民经济增长要素的重要一员。

      从2015年，国务院发布的《促进大数据发展行动纲要》开始，2018年国务院发布《科学数据管理办法》，2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，2021年3月12日，新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，数据安全政策导向明确，国家数据战略清晰。

      关于信息数据的泄露，对于个人而言都不会感到陌生。根据公开报道，2020年全球数据泄露的平均损失成本为1145万美元，2019年数据泄露事件达到7098起，涉及151亿条数据记录，比2018年增幅284%，数据泄漏事件影响大、损失重。

      而对于拥有庞大客户信息的企业，信息数据就像是“那摩克利斯之剑”，任何的疏忽造成的信息泄露或是窃取买卖，都会危害到每一个人的利益，甚至对国家安全造成威胁。

       DSMM标准也就是在这样一个大背景下孕育而生。企业开始重点关注数据安全问题，也更加重视相关的评估认证工作。

- 评估依据及内容：

     《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019) (以下简称“DSMM”）是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。

       DSMM国家标准以组织的数据为中心，围绕数据的采集、传输存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评判组织的数据安全能力。

基于大数据环境下数据在组织机构业务中的流转情况，定义数据生命周期的6个阶段，具体各阶段
的定义如下：
——数据采集：指在组织机构内部系统中新生成数据，以及从外部收集数据的阶段。
——数据传输：指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。
——数据存储：指数据以任何数字格式进行物理存储或云存储的阶段。
——数据处理：指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。
——数据交换：指数据由组织机构与外部组织机构及个人交互的阶段。
——数据销毁：指通过对数据及数据的存储介质通过相应的操作手段，使数据彻底消除且无法通过任何手段恢复的过程。
组织机构的数据安全能力成熟度

       模型分为五个成熟度等级，一级是非正式执行级，二级是计划跟踪级，三级是充分定义级，四级是量化控制级，五级是持续改进级。能力级别从一级至五级逐级ᨀ高，标志着组织机构的数据安全保障能力的成熟度不断ᨀ升。每个级别规定了对应的公共特征和通用实践。

- 评估对象：

      DSMM标准的适用范围非常广泛，没有行业的限制，对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM，包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。

- 评估目标：

      DSMM评估的目标是帮助各企业和组织基于国家标准来评估其数据安全能力，帮助企业和组织发现数据安全能力短板，提升企业组织的数据安全能力，促进大数据在组织间的交换、共享与流转，发挥大数据的价值。DSMM将数据安全能力划分为五个等级，级别越高，代表该企业数据安全能力管理方面越优秀;级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。

- 评估交付物：

      评估结果:DSMM标准重点关注企业业务数据，以衡量组织机构安全能力，全面展示企业数据安全能力项成熟度评估等级。

      评估报告:帮助企业展示数据安全能力现状，识别数据安全能力相关问题,给出评估结论、详细评估结果和阶段性安全提升建议等，给出评估等级建议。

       评估证书:通过专家评审后，同意给定对应数据安全能力成熟度等级，并颁发DSMM证书。

- 实施DSMM意义

      1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。

      2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

      3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。

      4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

      5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。