DSMM是什么
DSMM是Data Security capability MaturityModel的縮寫,中文名為數據安全能力成熟度模型。是以2019-08-30 發布,2020-03-01 實施的GB/T 37988-2019 《信息安全技術數據安全能力成熟度模型》為依據的數據安全保護體系。
為什么需要管理數據安全
隨著信息技術的發展,人類社會已經進入數字時代,數據的指數級增長已經成為常態。數據具有極大的價值變現特點,世界各國都強烈意識到數據的重要性。然而,數據的價值變現、有效利用的前提是數據是安全的,所以,數據安全的保護能力,是數據有效利用的基礎。2020年4月9日,中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》,數據首次被作為要素寫入《意見》,要求推進政府數據開放共享,提升社會數據資源價值,同時也要加強數據資源整合和安全保護,探索建立統一規范的數據管理制度。我國從國家層面,制定了相關法律法規,明確要求要合規、合法、有效的做好數據安全的保護。
國家制定了哪些相關的法律法規
DCMM 模型定義了數據戰略、數據治理、數據架構、數據應用、數據安全、數據治理、數據標準和數據生存周期八個核心能力域和28個能力項。國家先于企業和機構更早意識到數據的價值和數據安全的重要性,通過政策或立法的方式,給企業和個人進行規范和要求,逐漸培養人們的數據安全意識。目前國家制定的數據安全相關法律主要有:
2016年實施的《中華人民共和國網絡安全法》;
2021年實施的《中華人民共和國數據安全法》;
2021年實施的《中華人民共和國個人信息保護法》。
DSMM與ISO27001和等保的區別
等保標準以備案系統為主要評估對象,偏向傳統網絡系統安全,側重于物理安全、網絡安全、安全建設管理等方面的網絡系統安全保護。
ISO27001標準是以組織為對象,偏向信息安全管理,側重于指導組織依據信息安全風險評估的結果選擇合適的控制措施,設計構建信息安全管理體系。
DSMM標準也是以組織為評估對象,聚焦數據全生命周期的防護,從四個安全能力維度提出分級要求,幫助組織打造與業務貼合緊密的數據安全架構。
實施DSMM的意義
DSMM 標準可為組織在不同階段,開展數據保護建設,提供分級別的實踐指南。通過實施DSMM評估,可以:
1、促進組織機構了解并提升自身的數據安全水平,從數據生命周期的角度出發,結合各類數據業務發展所體現的安全需求開展數據安全保障工作;
2、保障數據在組織機構之間安全地交換與共享,充分發揮數據的價值,打造更安全的大數據應用環境。
DSMM的架構
DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。四個安全能力維度:組織建設、制度流程、技術工具、人員能力;
七個安全過程維度:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全,共計30個過程域;
五個安全能力等級:從低到高依次1至5級。
DSMM每個級別有什么區別
DSMM等級劃分與核心特點如下:
L1非正式執行:執行非正式過程,隨機、無序、被動執行安全過程,依賴個人經驗,無法復制。
L2計劃跟蹤:在業務系統級別主動實現了安全過程的計劃與執行,但沒有形成體系化,可驗證過程執行與計劃一致,跟蹤、控制執行的進展。
L3充分定義:在組織級別實現了安全過程的規范執行,標準過程進行制度化,過程可重復執行,執行結果可核查。
L4量化控制:建立了量化目標,安全過程可度量。
L5持續優化:根據組織的整體目標,不斷改進和優化組織能力和安全過程有效性。
初次申請DSMM可以申請幾級
申請什么級別主要依據企業的實際情況來判斷,沒有硬性規定初次申請級別的限制。大部分組織適合申請DSMM2級,DSMM3級適合具有較高數據安全實踐水平的組織申請,DSMM4級適合在數據安全領域建設水平領先的組織申請,DSMM5級暫不開放申請。
DSMM貫標流程
Step1:差距分析——Step2:能力建設——Step3:測量評估。
DSMM評價方法
DSMM的評價方法主要是評分制,先對每個過程域(PA)的四個能力維度(BP)進行打分,再通過計算平均分、修正分值的方式得到最終的PA分值,最終得到整體的綜合得分。
目前國內有哪些獲證企業
目前國內的獲證企業有:
安吉縣大數據發展管理局(三級)
貴州智陽信息技術有限公司(二級)
貴州中軟云上數據技術服務有限公司(二級)
國網電商科技有限公司(二級)
國網河北省電力有限公司(三級)
啟明星辰無錫市數據安全運營中心(三級)
圣境科技(天津)有限公司(二級)
四川瑞康創新科技有限公司(二級)
天津津投保險經紀有限公司(一級)
天津啟明星辰信息技術有限公司(二級)
天津神舟通用數據技術有限公司(二級)
天津市前嗅網絡科技有限公司(一級)
未來電視有限公司(二級)
信通達智能科技有限公司(二級)
云上貴州大數據產業發展有限公司(二級)
中交智運有限公司(一級)
中科銳眼(天津)科技有限公司(一級)
中汽數據(天津)有限公司(一級)
……
哪些企業適合申請DSMM
DSMM標準的適用范圍非常廣泛,沒有行業的限制,對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM,包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。
申請DSMM,企業需要哪些部門和角色的參與
涉及到的相關部門主要有數據安全管理部門、信息安全部門、信息科技部門、數據管理部門、業務條線部門(業務主管、業務處理)、風險管理部門、法務部門、人力資源部門、內控合規部門、審計部門等。
如何核查DSMM證書的有效性和公正性
可通過國家市場監督管理總局全國認證認可信息公共服務平臺(http://cx.cnca.cn/CertECloud/index/index/page)查詢證書詳情,并核查驗證證書的有效性。
企業獲取DSMM證書后如何維持證書的有效性
證書有效期為三年,根據現行評估規則不需要每年監督。證書到期前至少提前三個月申請再認證評估。
數據安全能力成熟度模型能夠用來衡量一個組織的數據安全能力成熟度水平,可以幫助行業、企業和組織發現數據安全能力短板,相關主管部門也可以用于數據安全管理,根據數據安全能力水平高低決定企業擁有數據的類型和范圍,最終提升全社會的數據安全水平和行業競爭力,確保大數據產業及數字經濟的發展。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
