1、數據安全認證背景概述
數據安全認證是為了保護個人和機構的敏感信息和數據不受未經授權的訪問和利用。在當今數字化的社會中,大量的個人和商業數據都存儲在網絡和云端,因此數據安全認證成為了非常重要的一環。通過數據安全認證,可以確保數據的保密性、完整性和可用性,防止數據泄露、篡改和丟失,保護個人隱私和商業機密,維護數據的合法使用和共享。數據安全認證也有助于提高用戶和客戶對數據安全的信任和滿意度,增強企業的競爭力和可信度,并提高企業在法律法規方面的合規性,增強企業的信譽和可持續發展能力。因此,數據安全認證是保障信息安全和網絡安全的重要手段,對個人和組織都具有重要意義。
2、DSMM評估介紹
2.1評估概述
DSMM(Data Security capability MaturityModel)認證是我國首個依據國家標準《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)開展的數據安全認證,該標準是由阿里巴巴聯合中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心等業內權威機構聯合編寫的國家標準,是國內第一個數據安全標準認證,于2019年8月30日發布,2020年3月1日正式實施。
2.2 評估依據
DSMM認證評估是依據《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)國家標準和《數據安全能力建設實施指南V1.0》,對組織的數據安全開展能力評估。
2.3 評估內容
DSMM評估以組織為單位,以數據為中心,圍繞四個安全能力維度、七個安全過程維度、五個安全能力等級評價組織的數據安全能力。
四個能力維度:組織建設、制度流程、技術工具、人員能力。
七個安全過程維度:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全,共計30個數據安全能力過程域和576個基本實踐;
五個安全能力等級:從低到高依次1至5級。
DSMM架構圖
DSMM數據安全PA體系
數據生命周期
2.4、申請什么級別
申請什么認證的級別主要依據企業的實際情況來判斷,沒有強制硬性規定初次申請級別的限制。大部分組織都適合申請DSMM2級認證,DSMM3級適合具有較高數據安全實踐水平的組織申請。DSMM4級適合在數據安全領域建設水平領先的組織申請。最高級DSMM5級目前暫不開放申請。
DSMM能力等級劃分
2.5、貫標咨詢流程
貫標咨詢流程
2.6、 評估流程
DSMM評估流程
2.7、涉及的部門
管理層
高層管理層,主要了解公司有沒有相應的數據安全策略和方針,以及對組織設置的建議,涉及到后面的組織能力建設工作以及數據安全戰略規劃有沒有相應的預算。如果公司本身是把數據安全劃到 IT 安全和信息安全和網絡安全里面,是很小的一塊,推動數據安全的能力建設就會有比較大的阻力,因為不是公司目前的一個重要重點工作。
研發部門
主要需了解系統業務定位、系統架構、業務數據范圍及數據采集、傳輸、處理、交換過程中的數據安全保護建設情況等內容。
以及要了解重要的業務和系統,在整個生命周期什么位置,比如說它是屬于采集環節,還是屬于數據處理環節?然后對重要的系統,要了解系統主要的用戶,用戶的規模大概多少,數據的模型架構,內部數據的流轉情況,以及它與外部系統的之間的數據關系;
要了解業務數據的流轉過程,包括在采集環節,采集的方式、渠道范圍,合規性的控制。數據在傳輸環節要備份恢復,能夠傳輸加密。數據處理環節就要了解這個系統數據處理和數據分析的功能有哪些?有沒有一些脫敏的場景和脫敏的規則,以及數據后臺的數據管理是怎么運作的?它的功能有哪些?
業務部門
需要了從業務部門了解業務目標和需求,數據和信息資源,業務流程和日常工作如何開展。通過歷史業務流程審批的留痕材料,驗證數據安全的實際開展情況。
運維部門
需要了解網絡架構、安全要求、安全技術工具及數據存儲、數據銷毀過程、數據安全保護建設情況等內容。
2.8 評估方式
DSMM評估方式主要包括人員訪談、文檔審核、配置檢查、工具測試、旁站式驗證等方式,具體情況如下:
文檔審核:由被評價組織輸入與數據安全相關的文檔材料(如數據 安全的方針政策、制度規范流程、培訓教育材料、以及 與產品技術相關的設計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數據生存周期的PA和控制項。
配置檢查:根據被審核方提供的技術材料,登陸相關的系統工具 平臺,檢査配置是否與材料保持一致,對文檔審核內容進行核實。
工具測試:利用技術工具對系統工具進行測試,驗證是 否符合數據安全成熟度模型特定等級的技術 能力要求,也可采信第三方的測試報告。
旁站式驗證:審核人員在現場通過實地觀察人員行為、技術設施和環境狀況判斷人員的安全 意識、業務操作、管理程序等方面的安全情況。
人員訪談:通過訪談的方式與被審核方進行交流、討論 等活動,獲取相關證據,了解有關信息。
2.9 評估交付物
評估結果:DSMM標準重點關注企業業務數據,以衡量組織機構安全能力,全面展示企業數據安全能力項成熟度評估等級。
評估報告:幫助企業展示數據安全能力現狀,識別數據安全能力相關問題,給出評估結論、詳細評估結果和階段性安全提升建議等,給出評估等級建議。
DSMM評估報告(樣例)
DSMM過程域能力等級分布情況(樣例)
2.10 DSMM證書
百度通過DSMM認證證書
DSMM證書有效期為三年,根據現行評估規則不需要每年進行年度監督審核。DSMM證書到期前至少提前6個月申請再認證評估。
3、DSMM評估價值
1、理清企業數據安全現狀,發現企業和組織的數據安全能力短板。
2、帶來差異化競爭力:數據安全能力成熟度的認證能向企業的客戶及合作伙伴表明組織保障數據安全的能力,令其對組織的信心加強,有助于增加組織在同行業內的競爭優勢,穩固市場地位。
3、減少可能的損失:數據安全能力的提升,能在一定程度上降低數據安全事件給組織帶來的不良聲譽影響和可能的經濟損失。增強員工的意識和相關技能:提升組織數據安全管理人員的技能,增強全體員工的數據安全意識。
4、確保已建立的數據安全保障體系有效運轉和持續提升,從而整體上提升企業的數據安全水平。
5、從數據的安全保護、合規使用到數據的開發利用,數據安全能力成熟度的認證和持續監督審核是組織數據安全的體檢措施,能為數據生產要素價值的實現打好基礎。
4、 DSMM評估適用對象
數據擁有方:大數據企業、信息技術產業、互聯網企業、金融業、銀行業、保險業、證券行業、電子商務平臺、數據中心、政務和高校等企事業單位。
數據方案提供方:數據開發/運營商、信息系統建設和服務提供商、信息技術服務提供商等。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
