DSMM認證,也稱為數據管理能力成熟度評估,也有地方稱為《數據安全能力成熟度模型》(GB/T 37988—2019.DSMM)認證。
近年來,隨著信息技術和人類生產生活交匯融合,通過網絡收集、存儲、傳輸、處理和產生的各種數據迅猛增長。很多企業對于DSMM的需求還是很大的,但DSMM還是有很多專業性的問題,為了便于大家可以快速了解DSMM,同邦信息科技的小編就給大家將常見的問題做了匯總,一起來看看吧!
01、DSMM是什么?
DSMM 標準以數據為中心,重點圍繞數據生命周期,從組織建設、制度流程、技術工具和人員能力四個方面進行安全保障。
DSMM 標準關注企業自身業務產生的數據和與外部第三方組織交互的數據,以衡量組織機構的數據安全能力,促進組織機構了解并提升自身的數據安全水平。
本標準適用于組織機構數據安全能力的自身評估,也適用于第三方機構對組織機構的數據安全保障能力進行評估。
本標準借鑒能力成熟度模型(CMM)的思想,以CMM的通用實踐來衡量能力成熟度等級,以《要求》中的安全要求為基礎,定義數據安全過程域和基本實踐,指導組織機構如何持續達到所對應的安全要求。
02、DSMM的基礎申報條件
具有獨立企業法人地位,屬于數據擁有方或數據方案提供方;
社會信譽良好,有良好的知識產權保護意識,近三年無觸犯國家法律法規的行為,無經營異常或嚴重違法失信行為,無不正當競爭行為;
滿足《GB_T 37988-2019 信息安全技術 數據安全能力成熟度模型》相應級別要求;
有5人左右參與相關數據安全管理工作的人員。
03、DSMM的等級劃分有哪些?
DSMM將數據管理能力成熟度劃分為五個等級,自低向高依次為1級:非正式執行、2級:計劃跟蹤、3級:充分定義、4級:量化控制、5級:持續優化,不同等級代表企業數據安全管理和應用的成熟度水平不同。
數據安全過程維度——數據生命周期全過程,包括數據 采集、數據傳輸、數據存儲、數據處理、數據交換、 數據銷毀安全,以及通用安全過程。
三維度相互交叉,形成具體的基本實踐(BP),全部的基 本實踐構成DSMM的條款內容;基于組織企業對各基本實踐的滿足程度,最終確定企業所達到的成熟度等級。
DSMM每個級別有什么區別?
L1非正式執行:執行非正式過程,隨機、無序、被動執行安全過程,依賴個人經驗,無法復制。
L2計劃跟蹤:在業務系統級別主動實現了安全過程的計劃與執行,但沒有形成體系化,可驗證過程執行與計劃一致,跟蹤、控制執行的進展。
L3充分定義:在組織級別實現了安全過程的規范執行,標準過程進行制度化,過程可重復執行,執行結果可核查。
L4量化控制:建立了量化目標,安全過程可度量。
L5持續優化:根據組織的整體目標,不斷改進和優化組織能力和安全過程有效性。
04、DSMM與ISO27001和等保有何不同?
等保標準以備案系統為主要評估對象,偏向傳統網絡系統安全,側重于物理安全、網絡安全、安全建設管理等方面的網絡系統安全保護。
ISO27001標準是以組織為對象,偏向信息安全管理,側重于指導組織依據信息安全風險評估的結果選擇合適的控制措施,設計構建信息安全管理體系。
DSMM標準也是以組織為評估對象,聚焦數據全生命周期的防護,從四個安全能力維度提出分級要求,幫助組織打造與業務貼合緊密的數據安全架構。
05、DSMM的架構
DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。四個安全能力維度:組織建設、制度流程、技術工具、人員能力;
七個安全過程維度:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全,共計30個過程域;
五個安全能力等級:從低到高依次1至5級。
06、DSMM適合哪些評估對象?
DSMM是針對企業數據安全管理和應用能力的評估框架,從標準本身講,任何企業都可以申請,目前主要適用于兩類。
一是數據擁有方:大數據企業、信息技術產業、互聯網企業、金融業、銀行業、保險業、證券行業、保險業、電子商務平臺、數據中心、政務和高校等企事業單位。
二是數據方案提供方:數據開發/運營商、信息系統建設和服務提供商、信息技術服務提供商等。
07、做DSMM對企業的價值
資產保護:企業通過數據安全認證可建立完善數據安全體系,制定全面合理的數據安全制度流程及 管理措施,提高企業數據安全保護意識,保障企業數據資產安全。
風險防控:數據安全能力體系的建設的不僅擁有應對數據風險的發生時的防護能力,更能從源頭對風險進行防控,降低數據安全事故發生的概率。
合規要求:《數據安全法》《個人信息保護法》等相關 法律法規相繼出臺,對企業數據安全建設提出了要求,數據安全認證可幫助企業滿足相關法律法規要求,落實責任義務。
政策扶持:隨著相關法律法規完善,各地區政府鼓勵當地企業組織建立數據安全合規體系,并提供 政策扶持。
宣傳推廣:組織通過數據安全認證,結合數據安全體系建設的經驗,可形成行業最佳實踐,擴大行業知名度,帶動行業發展。
核心競爭力:通過數據安全認證的企業,可作為高度受信的數據擁有方及數據服務提供方,提升自身核心競爭力,為企業客戶提供安全的數據服務。
08、DSMM評估流程
DSMM評估流程分為審核簽活動,第一階段、第二階段和認證決定四個階段
09、DSMM評估方式有哪些?
DSMM評估方式主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗證等方式,具體情況如下:
(1)文檔審核:由被評價組織輸入與數據安全相關的文檔材料(如數據 安全的方針政策、制度規范流程、培訓教育材料、以及 與產品技術相關的設計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數據生存周期的PA和控制項。
(2)配置檢查:根據被審核方提供的技術材料,登陸相關的系統工具 平臺,檢査配置是否與材料保持一致,對文檔審核內容進行核實。
(3)工具測試:利用技術工具對系統工具進行測試,驗證是 否符合數據安全成熟度模型特定等級的技術 能力要求,也可采信第三方的測試報告。
(4)旁站式驗證:審核人員在現場通過實地觀察人員行為、技術設施和環境狀況判斷人員的安全 意識、業務操作、管理程序等方面的安全情況。
(5)人員訪談:通過訪談的方式與被審核方進行交流、討論 等活動,獲取相關證據,了解有關信息。
10、企業如何開展貫標準備工作?
準備工作分為三個階段:
(1)差距分析:對照能力等級標準的相關要求,梳理本企業數據管理的相關制度、執行過程文檔、數據管理平臺和工具的相關資料,進行差距分析,制定建設提升工作計劃。
(2)能力建設:健全數據管理組織,完善數據管理制度體系,優化數據管理平臺和工具,開展對標自評估。
(3)量化評估:組建評估隊伍,提交正式評估申請,開展第三方評估,獲取評估結果和提升整改意見。
11、企業如何初步判斷評估等級?
企業可以直接申請所需要的等級,一般建議申請2級或3級。
12、DSMM部分地區政策補貼詳情
天津市DSMM補貼
對首次通過國家《數據安全能力成熟度模型》(GB/T 37988—2019.DSMM)、《數據管理能力成熟度評估模型》(GB/T 36073—2018.DCMM)認證的企業,分別給予最高50萬元支持。(責任單位:市委網信辦、市工業和信息化局、市財政局、各區人民政府)
貴陽市DSMM補貼
支持企業提升管理能力。對首次通過軟件能力成熟度模型集成(CMMI)3級及以上、數據管理能力成熟度評估模型(DCMM)2級及以上、數據安全能力成熟度模型(DSMM)2級及以上認證,且證書在有效期內的企業,CMMI認證按3級、4級、5級分別給予一次性10萬元、20萬元、30萬元資金支持;DCMM認證按2級、3級、4級及以上分別給予一次性10萬元、20萬元、30萬元資金支持;DSMM2級及以上認證給予一次性30萬元資金支持。
清鎮市DSMM補貼
對首次通過軟件能力成熟度評估模型集成(CMMI)3 級及以上、數據管理能力成熟度評估模型(DCMM)2 級及以上、數據安全能力成熟度模型(DSMM)2 級及以上認證,且證書在有效期的企業,CMMI 認證按 3 級、4 級、5 級分別給予一次性 5 萬元、10 萬元、15 萬元資金支持;DCMM 認證按 2 級、3級、4 級及以上分別給予一次性 5 萬元、10 萬元、15 萬元資金支持;DSMM2 級以上認證給予一次性 15 萬元資金支持。
廣州同邦信息科技股份有限公司是一家致力于信息技術領域提供解決方案的IT技術和咨詢服務提供商,專業從事企業資質認證,目前累計服務客戶1000+,累計發出證書2000+,覆蓋行業20+,目前公司擁有一支導師式、顧問型的創新服務專家團隊,以提升客戶價值為目標,幫助企業通過資質認證!
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
