数据安全能力成熟度(DSMM)认证是为了保护个人和机构的敏感信息和数据不受未经授权的访问和利用。在当今数字化的社会中,大量的个人和商业数据都存储在网络和云端,因此数据安全认证成为了非常重要的一环。通过数据安全认证,可以确保数据的保密性、完整性和可用性,防止数据泄露、篡改和丢失,保护个人隐私和商业机密,维护数据的合法使用和共享。数据安全认证也有助于提高企业数据安全水平,促进数据交换与共享,提高用户和客户对数据安全的信任和满意度,增强企业的竞争力和可信度,并提高企业在法律法规方面的合规性,增强企业的信誉和可持续发展能力,打造更安全的大数据应用环境。因此,数据安全认证是保障信息安全和网络安全的重要手段,对个人和组织都具有重要意义。
1.评估概述
DSMM(Data Security capability MaturityModel)认证作为我国首个依据国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践;指导企业落实数据安全能力建设,于2019年8月30日发布,2020年3月1日正式实施。
2.评估内容
DSMM评估以组织为单位,以数据为中心,围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。
四个能力维度:组织建设、制度流程、技术工具、人员能力。
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个数据安全能力过程域和576个基本实践;
五个安全能力等级:从低到高依次1至5级。
DSMM数据安全PA体系
3.申请级别
申请什么认证的级别主要依据企业的实际情况来判断,没有强制硬性规定初次申请级别的限制。大部分组织都适合申请DSMM2级认证,DSMM3级适合具有较高数据安全实践水平的组织申请。DSMM4级适合在数据安全领域建设水平lingxian的组织申请。ZuigaojiDSMM5级目前暂不开放申请。
4.评估流程
5.评估交付物评估结果:DSMM标准重点关注企业业务数据,以衡量组织机构安全能力,全面展示企业数据安全能力项成熟度评估等级。
评估报告:帮助企业展示数据安全能力现状,识别数据安全能力相关问题,给出评估结论、详细评估结果和阶段性安全提升建议等,给出评估等级建议。
数据安全能力成熟度等级证书:DSMM证书有效期为三年,根据现行评估规则不需要每年进行年度监督审核。DSMM证书到期前至少提前6个月申请再认证评估。
DSMM评估服务成效
(1)定位数据安全风险梳理三个体系(制度规范体系、技术防护体系、运行管理体系)存在的安全薄弱点,结合行业经验沉淀进行全面分析,确定存在的数据安全风险点,提供数据安全建设决策参考。(2)完善制度规范体系保证总体安全策略符合法律法规、安全标准,安全管理制度能覆盖当前数据业务场景,制度与业务流程形成有效融合。(3)提升技术防护体系安全平台侧安全处理机制、安全策略、安全功能得到优化。安全测试方法种类、样本达到合理区间,健全了数据导出、数据安全事件告警、数据传输场景分级的技术管控措施,全面提高了技术防护等级。4)优化运行管理体系相关部门、内外部人员工作职责边界定义清晰,数据平台业务运行流程兼顾安全、效率、质量。5)鉴定数据安全能力在前期数据风险定位、三大体系升级优化基础上开展数据安全能力测评与鉴定工作。通过量化指标的安全测评,鉴定当前数据安全能力等级,确定数据安全建设成果,为未来安全建设目标设定提供依据。