1、数据安全认证背景概述   

数据安全认证是为了保护个人和机构的敏感信息和数据不受未经授权的访问和利用。在当今数字化的社会中，大量的个人和商业数据都存储在网络和云端，因此数据安全认证成为了非常重要的一环。通过数据安全认证，可以确保数据的保密性、完整性和可用性，防止数据泄露、篡改和丢失，保护个人隐私和商业机密，维护数据的合法使用和共享。数据安全认证也有助于提高用户和客户对数据安全的信任和满意度，增强企业的竞争力和可信度，并提高企业在法律法规方面的合规性，增强企业的信誉和可持续发展能力。因此，数据安全认证是保障信息安全和网络安全的重要手段，对个人和组织都具有重要意义。

2、DSMM评估介绍   

DSMM（Data Security capability MaturityModel）认证是我国首个依据国家标准《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）开展的数据安全认证，该标准是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内quanwei机构联合编写的国家标准，是国内第一个数据安全标准认证，于2019年8月30日发布，2020年3月1日正式实施。    

DSMM认证评估是依据《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）国家标准和《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估。

DSMM评估以组织为单位，以数据为中心，围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。

四个能力维度：组织建设、制度流程、技术工具、人员能力。

七个安全过程维度：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全，共计30个数据安全能力过程域和576个基本实践；

五个安全能力等级：从低到高依次1至5级。

DSMM架构图

DSMM数据安全PA体系    

数据生命周期

申请什么认证的级别主要依据企业的实际情况来判断，没有强制硬性规定初次申请级别的限制。大部分组织都适合申请DSMM2级认证，DSMM3级适合具有较高数据安全实践水平的组织申请。DSMM4级适合在数据安全领域建设水平领先的组织申请。ZuiDSMM5级目前暂不开放申请。    

DSMM能力等级划分

贯标咨询流程

DSMM评估流程

管理层

高层管理层，主要了解公司有没有相应的数据安全策略和方针，以及对组织设置的建议，涉及到后面的组织能力建设工作以及数据安全战略规划有没有相应的预算。如果公司本身是把数据安全划到 IT 安全和信息安全和网络安全里面，是很小的一块，推动数据安全的能力建设就会有比较大的阻力，因为不是公司目前的一个重要重点工作。

研发部门

主要需了解系统业务定位、系统架构、业务数据范围及数据采集、传输、处理、交换过程中的数据安全保护建设情况等内容。

以及要了解重要的业务和系统，在整个生命周期什么位置，比如说它是属于采集环节，还是属于数据处理环节？然后对重要的系统，要了解系统主要的用户，用户的规模大概多少，数据的模型架构，内部数据的流转情况，以及它与外部系统的之间的数据关系；    

要了解业务数据的流转过程，包括在采集环节，采集的方式、渠道范围，合规性的控制。数据在传输环节要备份恢复，能够传输加密。数据处理环节就要了解这个系统数据处理和数据分析的功能有哪些？有没有一些脱敏的场景和脱敏的规则，以及数据后台的数据管理是怎么运作的？它的功能有哪些？

业务部门

需要了从业务部门了解业务目标和需求，数据和信息资源，业务流程和日常工作如何开展。通过历史业务流程审批的留痕材料，验证数据安全的实际开展情况。

运维部门

需要了解网络架构、安全要求、安全技术工具及数据存储、数据销毁过程、数据安全保护建设情况等内容。

DSMM评估方式主要包括人员访谈、文档审核、配置检查、工具测试、旁站式验证等方式，具体情况如下：

文档审核：由被评价组织输入与数据安全相关的文档材料（如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单）、审核小组审核相关的文档材料是否 已涵盖完整数据生存周期的PA和控制项。

配置检查：根据被审核方提供的技术材料，登陆相关的系统工具 平台，检査配置是否与材料保持一致，对文档审核内容进行核实。

工具测试：利用技术工具对系统工具进行测试，验证是 否符合数据安全成熟度模型特定等级的技术 能力要求，也可采信第三方的测试报告。

旁站式验证：审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全 意识、业务操作、管理程序等方面的安全情况。    

人员访谈：通过访谈的方式与被审核方进行交流、讨论 等活动，获取相关证据，了解有关信息。

评估结果：DSMM标准重点关注企业业务数据，以衡量组织机构安全能力，全面展示企业数据安全能力项成熟度评估等级。

评估报告：帮助企业展示数据安全能力现状，识别数据安全能力相关问题，给出评估结论、详细评估结果和阶段性安全提升建议等，给出评估等级建议。

DSMM证书有效期为三年，根据现行评估规则不需要每年进行年度监督审核。DSMM证书到期前至少提前6个月申请再认证评估。

3、DSMM评估价值  

1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。

2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。

4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

4、 DSMM评估适用对象   

数据拥有方：大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

数据方案提供方：数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。