dsmm數據安全能力成熟度模型
DCMM(數據管理能力成熟度評估模型)
DCMM即《數據管理能力成熟度評估模型》,是我國在數據管理領域首個正式發布的國家標準。DCMM標準以組織為評估對象,DCMM數據管理能力成熟度評估模型定義了數據戰略、數據治理、數據架構、數據應用、數據安全、數據質量、數據標準和數據生存周期八個核心能力域及28個能力項,并以組織、制度、流程和技術作為八個核心域評價維度。幫助企業利用先進的數據管理理念和方法,建立和評價自身數據管理能力,持續完善數據管理組織、程序和制度,充分發揮數據在促進企業向信息化、數字化、智能化發展方面的價值。
DSMM(數據安全能力成熟度模型)
DSMM是Data Security capability MaturityModel的縮寫,中文名為數據安全能力成熟度模型。是以2019-08-30 發布,2020-03-01 實施的GB/T 37988-2019 《信息安全技術數據安全能力成熟度模型》為依據的數據安全保護體系。DSMM標準是以組織為評估對象,用來衡量一個組織的數據安全能力成熟度水平,聚焦數據全生命周期的防護,從四個安全能力維度提出分級要求,幫助組織打造與業務貼合緊密的數據安全架構,根據數據安全能力水平高低決定企業擁有數據的類型和范圍,最終提升全社會的數據安全水平和行業競爭力, 確保大數據產業及數字經濟的發展。
一、DSMM(數據安全能力成熟度模型)建設依據
本標準給出了組織數據安全能力的成熟度模型架構,規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求。
本標準適用于對組織數據安全能力進行評估,也可作為組織開展數據安全能力建設時的依據。
二、DSMM數據安全能力成熟度模型架構
1、五個等級包括:
-L1非正式執行:執行非正式過程,隨機、無序、被動執行安全過程,依賴個人經驗,無法復制。
-L2計劃跟蹤:在業務系統級別主動實現了安全過程的計劃與執行,但沒有形成體系化,可驗證過程執行與計劃一致,跟蹤、控制執行的進展。
-L3充分定義:在組織級別實現了安全過程的規范執行,標準過程進行制度化,過程可重復執行,執行結果可核查。
-L4量化控制:建立了量化目標,安全過程可度量。
-L5持續優化:根據組織的整體目標,不斷改進和優化組織能力和安全過程有效性。
2、四大安全能力維度包括:
-組織建設:指數據安全組織的架構建立、職責分配和溝通協作。組織可分為決策層、管理層和執行 層等三層結構。其中,決策層由參與業務發展決策的高管和數據安全官組成,制定數據安全的目標和愿景,在業務發展和數據安全之間做出良好的平衡;管理層是數據安全核心實體部門及業務部門管理層組成,負責制定數據安全策略和規劃,及具體管理規范;執行層由數據安全相關運營、技術和各業務部門接口人組成,負責保證數據安全工作推進落地。
-制度流程:指數據安全具體管理制度體系的建設和執行,包括數據安全方針和總綱、數據安全管理規范、數據安全操作指南和作業指導,以及相關模板和表單等。
-技術工具:指與制度流程相配套并保證有效執行的技術和工具,可以是獨立的系統平臺、工具、功能或算法技術等。需要綜合所有安全域進行整體規劃和實現,且要和組織的業務系統和信息系統等進行銜接。包括適用于所有安全域的通用技術工具,和部分階段或安全域試用的技術工具。
-人員能力:指為實現以上組織、制度和技術工具的建設和執行其人員應具備的能力。核心能力包括數據安全管理能力、數據安全運營能力、數據安全技術能力及數據安全合規能力。根據不同數據安全能力 建設維度匹配不同人員能力要求。
3、七大數據安全過程維度包括:
數據安全過程維度則從兩個層面考量:
1)數據安全過程包括數據生存周期安全過程和通用安全過程;
2)數據生存周期安全過程具體包括:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全6個階段。
-數據采集:指在組織機構內部系統中新生成數據,以及從外部收集數據的階段。
-數據傳輸:指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。
-數據存儲:指數據以任何數字格式進行物理存儲或云存儲的階段。
-數據處理:指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。
-數據交換:指數據由組織機構與外部組織機構及個人交互的階段。
-數據銷毀:指通過對數據及數據的存儲介質通過相應的操作手段,使數據徹底消除且無法通過任何手段恢復的過程。
三、DSMM初次申請
申請什么級別主要依據企業的實際情況來判斷,沒有硬性規定初次申請級別的限制。大部分組織適合申請DSMM2級,DSMM3級適合具有較高數據安全實踐水平的組織申請,DSMM4級適合在數據安全領域建設水平領先的組織申請,DSMM5級暫不開放申請。
四、DSMM貫標流程
Step1:差距分析 Step2:能力建設 Step3:測量評估
五、DSMM評價方法
DSMM的評價方法主要是評分制,先對每個過程域(PA)的四個能力維度(BP)進行打分,再通過計算平均分、修正分值的方式得到最終的PA分值,最終得到整體的綜合得分。
六、DSMM評估方式有哪些?
DSMM評估方式主要包括人員訪談、文檔審核、配置檢查、工具測試、旁站式驗證等方式,具體情況如下:
(1)文檔審核:由被評價組織輸入與數據安全相關的文檔材料(如數據 安全的方針政策、制度規范流程、培訓教育材料、以及 與產品技術相關的設計實施方案、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數據生存周期的PA和控制項。
(2)配置檢查:根據被審核方提供的技術材料,登陸相關的系統工具 平臺,檢査配置是否與材料保持一致,對文檔審核內容進行核實。
(3)工具測試:利用技術工具對系統工具進行測試,驗證是 否符合數據安全成熟度模型特定等級的技術 能力要求,也可采信第三方的測試報告。
(4)旁站式驗證:審核人員在現場通過實地觀察人員行為、技術設施和環境狀況判斷人員的安全 意識、業務操作、管理程序等方面的安全情況。
(5)人員訪談:通過訪談的方式與被審核方進行交流、討論 等活動,獲取相關證據,了解有關信息。
七、哪些企業適合申請
DSMM標準的適用范圍非常廣泛,沒有行業的限制,對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM,包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。
八、企業需要哪些部門和角色的參與
涉及到的相關部門主要有數據安全管理部門、信息安全部門、信息科技部門、數據管理部門、業務條線部門(業務主管、業務處理)、風險管理部門、法務部門、人力資源部門、內控合規部門、審計部門等。
九、實施DSMM的意義
資產保護:企業通過數據安全認證可建立完善數據安全體系,制定全面合理的數據安全制度流程及 管理措施,提高企業數據安全保護意識,保障企業數據資產安全。
風險防控:數據安全能力體系的建設的不僅擁有應對數據風險的發生時的防護能力,更能從源頭對風險進行防控,降低數據安全事故發生的概率。
合規要求:《數據安全法》《個人信息保護法》等相關 法律法規相繼出臺,對企業數據安全建設提出了要求,數據安全認證可幫助企業滿足相關法律法規要求,落實責任義務。
政策扶持:隨著相關法律法規完善,各地區政府鼓勵當地企業組織建立數據安全合規體系,并提供 政策扶持。
宣傳推廣:組織通過數據安全認證,結合數據安全體系建設的經驗,可形成行業最佳實踐,擴大行業知名度,帶動行業發展。
核心競爭力:通過數據安全認證的企業,可作為高度受信的數據擁有方及數據服務提供方,提升自身核心競爭力,為企業客戶提供安全的數據服務。
十、DSMM與ISO27001和等保的區別
等保標準以備案系統為主要評估對象,偏向傳統網絡系統安全,側重于物理安全、網絡安全、安全建設管理等方面的網絡系統安全保護。
ISO27001標準是以組織為對象,偏向信息安全管理,側重于指導組織依據信息安全風險評估的結果選擇合適的控制措施,設計構建信息安全管理體系。
DSMM強調數據保護,以數據為中心,在數據備份、數據銷毀等方面與等保和ISO27000有重合,但是DSMM關注的數據采集、溯源、分析等視角,等保和ISO27000均未涉及,DSMM對制度流程的要求均建立在具體的數據保護過程之上,DSMM還強調對人員能力的評估。
DSMM標準與等保一樣有分級的概念,但關注的是數據整個生命周期的安全控制,與業務貼合更緊密。
十一、如何核查DSMM證書的有效性和公正性
可通過國家市場監督管理總局全國認證認可信息公共服務平臺(http://cx.cnca.cn/CertECloud/index/index/page)查詢證書詳情,并核查驗證證書的有效性。
企業獲取DSMM證書后如何維持證書的有效性
證書有效期為三年,根據現行評估規則不需要每年監督。證書到期前至少提前三個月申請再認證評估。
十二、DSMM部分地區政策補貼詳情
天津市DSMM補貼
對首次通過國家《數據安全能力成熟度模型》(GB/T 37988—2019.DSMM)、《數據管理能力成熟度評估模型》(GB/T 36073—2018.DCMM)認證的企業,分別給予最高50萬元支持。(責任單位:市委網信辦、市工業和信息化局、市財政局、各區人民政府)
貴陽市DSMM補貼
支持企業提升管理能力。對首次通過軟件能力成熟度模型集成(CMMI)3級及以上、數據管理能力成熟度評估模型(DCMM)2級及以上、數據安全能力成熟度模型(DSMM)2級及以上認證,且證書在有效期內的企業,CMMI認證按3級、4級、5級分別給予一次性10萬元、20萬元、30萬元資金支持;DCMM認證按2級、3級、4級及以上分別給予一次性10萬元、20萬元、30萬元資金支持;DSMM2級及以上認證給予一次性30萬元資金支持。
DSMM認證流程及所需材料清單
DSMM認證流程
1. 受理評估申請 在申請DSMM認證的第一步,申請單位需要提交數據安全能力成熟度評估申請表以及其他必要的附件材料。市場人員會接收這些材料,并對申請方提交的認證申請書及相關資料進行審理。審理的內容包括確認所需的基本信息是否完整提供,與申請方之間的理解差異是否消除,公司是否有能力實施所申請的認證活動,申請內容是否在評估范圍內,申請表填報信息是否完整,以及申請方的運作場所、期望完成審核需要的時間和任何其他影響認證活動的因素。
2. 組建評估工作組 服務協議簽訂后,業務部門管理者將組建評估工作組,并指定評估工作組組長。評估工作組組長將負責評估階段的各項組織工作。
3. 制定評估計劃及方案 評估工作組需要與申請單位進行需求溝通,明確本次評估的目的、限制條件、評估范圍及成果輸出,并做出公正性和保密性承諾。之后,評估工作組應制定詳盡的實施計劃,包括評估內容及范圍、現場評估地點、工作組分工、工作日程安排、項目中止條件等。
4. 文件評審 評估工作組將依據認證依據和評估方案對申請方提交的文件資料進行審核。審核的內容包括申請表信息的完整性以及企業是否基本具備所申請能力等級的基本條件。
5. 實施現場評估 現場評估工作需要在申請單位的主要經營和技術研發所在地進行。
6. 評估決定 發證申請評估組組長向認證決定人員提交書面評估結果,申請證書發放。
7. 監督審查 對獲得認證證書的組織,相關機構將開展監督審查工作。這包括每年度進行一次監督審核,以及在發生重大數據安全事故或組織結構、人員等方面發生重大變更等情況時增加現場監督審核的頻次。
8. 再評估 證書有效期為三年,若獲證組織希望繼續持有評估證書,應在評估證書有效期滿前三個月向公司提出再評估申請,并提交相關資料。再評估活動的流程與初次評估相同。
所需材料清單
1. 企業營業執照 企業營業執照是辦理DSMM認證的基本要求,作為企業的法定證明文件。
2. 組織架構圖 組織架構圖應展示企業的組織架構,明確各部門和崗位的職責與關系。
3. 數據安全管理制度 企業需要提供自身的數據安全管理制度,包括數據安全政策、管理制度、流程等。
4. 技術防護措施 企業需要說明自身采取的技術防護措施,如數據加密、訪問控制、安全審計等。
5. 人員培訓情況 企業需要提供人員培訓情況的相關材料,包括培訓計劃、培訓內容、培訓效果評估等。
6. 數據安全自評估報告 企業需要進行數據安全自評估,并提交自評估報告。自評估報告應包括企業的數據安全現狀、存在的風險和問題、改進措施等內容。
7. 其他相關材料 根據認證機構的具體要求,企業可能需要提供其他相關材料,如數據安全事件處置記錄、數據安全審計報告等。
以上是DSMM認證的基本流程和所需材料清單。請注意,根據最新的政策和要求,這些流程和材料可能會有所變化。在申請認證之前,建議與專業的咨詢服務機構聯系,獲取最準確的信息和指導。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
