[新闻]北京DSMM认证是什么？认证补贴政策有哪些？

DSMM是什么？

《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019) (以下简称“DSMM”）是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。

DSMM与其他资质区别

ISO27001是信息安全管理体系。ISO27001标准是以组织为对象，偏向信息安全管理，侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施，设计构建信息安全管理体系。

DSMM是Data Security capability MaturityModel的缩写，中文名为数据安全能力成熟度模型。是以2019-08-30 发布，2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。DSMM标准也是以组织为评估对象，聚焦数据全生命周期的防护，从四个安全能力维度提出分级要求，帮助组织打造与业务贴合紧密的数据安全架构。

DCMM即《数据管理能力成熟度评估模型》，是我国在数据管理领域首个正式发布的国家标准。DCMM标准以组织为评估对象，DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项，并以组织、制度、流程和技术作为八个核心域评价维度。帮助企业利用先进的数据管理理念和方法，建立和评价自身数据管理能力，持续完善数据管理组织、程序和制度，充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。

DSMM的意义与价值？

理清企业数据安全现状，发现企业和组织的数据安全能力短板。

带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。

确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

DSMM的架构与内容

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。DSMM的架构由以下三个维度构成：

（1）安全能力维度：安全能力维度明确了组织在数据安全领域应具备的能力.包括组织建设、制度流程、技术工具和人员能力。

（2）能力成熟度等级维度：组织的数据安全能力成熟度等级划分为五级，具体包括：1级（非正式执行级），2级（计划跟踪级），3 级（充分定义级），4级（量化控制级），5级（持续优化级）。

（3）数据安全过程维度：数据安全过程包括数据生存周期安全过程和通用安全过程；数据生存周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

⑤DSMM每个等级区别

1级（非正式执行）主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2级（计划跟踪）主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。规划执行，对数据安全过程进行规划，提前分配资源和责任；规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

3级（充分定义）主要特点：在组织级别实现了安全过程的规范定义和执行。定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

4级（量化控制）主要特点：建立了量化目标，安全过程可量化度量和预测。建立可测的目标，为组织数据安全建立可测量的目标；客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5级（持续优化）主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。

初次申请DSMM可以申请什么级别？

申请什么认证的级别主要依据企业的实际情况来判断，没有强制硬性规定初次申请级别的限制。大部分组织都适合申请DSMM2级认证，DSMM3级适合具有较高数据安全实践水平的组织申请。DSMM4级适合在数据安全领域建设水平领先的组织申请。最高级DSMM5级目前暂不开放申请。

⑦DSMM贯标咨询流程

第一步：差距分析（1个月），第二步：能力建设（3个月），第三步：测量评估（1个月）

【评估关键要素】

哪些企业适合申请DSMM

DSMM标准的适用范围非常广泛，没有行业的限制，对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM，包括但不限于：

数据拥有方:大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

数据方案提供方:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。

申请DSMM哪些部门要核心参与？

1）管理层：高层管理层，主要了解目前这个公司有没有相应的数据安全策略和方针，以及对组织设置的建议，涉及到后面的组织能力建设工作以及数据安全战略规划有没有相应的预算。如果这个公司本身是把数据安全划到 IT 安全和信息安全和网络安全里面，是很小的一块，推数据安全的能力建设就会有比较大的阻力，因为不是他目前的一个重要重点工作。

2）研发部门：主要需了解系统业务定位、系统架构、业务数据范围及数据采集、传输、处理、交换过程中的数据安全保护建设情况等内容。以及要了解重要的业务和系统，在整个生命周期什么位置，比如说它是属于采集环节，还是属于数据处理环节？然后对重要的系统，要了解系统主要的用户，用户的规模大概多少，数据的模型架构，内部数据的流转情况，以及它与外部系统的之间的数据关系；要了解业务数据的流转过程，包括在采集环节，采集的方式、渠道范围，合规性的控制。数据在传输环节要备份恢复，能够传输加密。数据处理环节就要了解这个系统数据处理和数据分析的功能有哪些？有没有一些脱敏的场景和脱敏的规则，以及数据后台的数据管理是怎么运作的？它的功能有哪些？

3）运维部门：需要了解网络架构、安全要求、安全技术工具及数据存储、数据销毁过程、数据安全保护建设情况等内容。