数据是国民生产的重要因素，数据安全事关国家安全和经济社会发展。近年来，数据安全事件频发，数据安全问题日趋复杂，数据安全领域的法律法规密集出台，数据监管法律体系已经建立。我国数据安全领域的首部专门律法《数据安全法》中提到: 国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

一、什么是数据安全能力成熟度评估（DSMM）

DSMM是Data Security capability MaturityModel的缩写，中文全称《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019），是由国家信息安全工程技术研究中心、中国电子技术标准化研究院、中国信息安全测评中心等业内quanwei机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。DSMM国家标准以组织的数据为中心，围绕数据“采集、传输、存储、处理、交换、销毁”全生命周期，围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。四个能力维度：组织建设、制度流程、技术工具、人员能力。七个安全过程维度：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全，共计30个数据安全能力过程域和576个基本实践；

二、数据安全能力成熟度（DSMM）评估流程及获证周期整个流程共分为三个阶段：差距分析→能力建设→测量评估。获证周期一般为45个工作日（仅参考，预估无多场所估算人日），证书自颁发之日起有效期3年。具体评估流程如下——

三、数据安全能力成熟度（DSMM）评估方式

DSMM评估方式主要包括人员访谈、文档审核、配置检查、工具测试、旁站式验证等方式，具体情况如下：文档审核：由被评价组织输入与数据安全相关的文档材料（如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单）、审核小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项。配置检查：根据被审核方提供的技术材料，登陆相关的系统工具平台，检査配置是否与材料保持一致，对文档审核内容进行核实。工具测试：利用技术工具对系统工具进行测试，验证是否符合数据安全成熟度模型特定等级的技术 能力要求，也可采信第三方的测试报告。旁站式验证：审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全 意识、业务操作、管理程序等方面的安全情况。人员访谈：通过访谈的方式与被审核方进行交流、讨论等活动，获取相关证据，了解有关信息。

四、数据安全能力成熟度（DSMM）评估价值

1、满足合规要求，《数据安全法》和《个人信息保护法》等相关法律法规相继出台，对企业数据安全建设提出了要求，数据安全认证可帮助企业满足相关法律法规要求，落实责任义务。

2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。

4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。