五分钟了解DSMM框架

组织建设

数据安全组织架构对组织业务的适用性；

数据安全组织承担的工作职责的明确性；

数据安全组织运作、沟通协调的有效性；

制度流程

数据生存周期关键控制阶段授权审批的明确性；

相关流程制度的制定、发布、修订的规范性；

制度流程实施的一致性和有效性；

技术与工具

数据安全技术在数据全生命周期过程中的利用情况，应对数据全生命周期安全风险的能力；

利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程固化执行的实现能力；

人员能力

数据安全人员所具备的数据安全能力是否能满足实现安全目标的能力要求（对数据相关业务的理解能力以及数据安全专业能力）；

数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养；

数据采集安全

数据传输安全

数据存储安全

数据处理安全

数据交换安全

数据销毁安全

数据分类分级

数据采集安全管理

数据源鉴别及记录

数据质量管理

数据传输加密

网络可用性管理

存储媒体安全

逻辑存储安全

数据备份和恢复

数据脱敏

数据分析安全

数据正当使用

数据处理环境安全

数据导入导出安全

体育

数据共享安全

数据发布安全

数据接口安全

数据销毁处置

存储媒体销毁处置

数据生命周期通用安全

数据安全策略规划

组织和人员管理

合规管理

数据资产管理

数据供应链安全

元数据管理

终端数据安全

监控与审计

鉴别与访问控制

需求分析

安全事件应急

等级1: 非式执行

组织在数据安全过程中不能有效地执行相关工作，仅在部分业务执行过程中根据临时的需求执行了相关工作，未形成成熟的机制保证相关工作的持续有效进行，执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程”

随机、无序、被动地执行安全过程，依赖于个人经验，无法复制

等级2：计划跟踪

1.规划执行：对安全过程进行规划，提前分配资源和责任。

2.规范执行：对安全过程进行控制，使用执行计划、执行基于标准和程序的过程.对数据安全过程实施配置管理。

3.验证执行：确认过程按预定的方式执行，验证过程的执行与计划是一致的。

4.跟踪执行：控制数据安全过程执行的进展，通过可测量的计划跟踪过程的执行，当过程实践与计划产生重大偏离时采取修正行动

在业务系统级别主动地实现了安全过程的计划与执行.但没有形成体系化

等级3：充分定义

1.定义标准过程：组织对标准过程进行制度化，为组织定义标准化的过程文档，为满足特定用途对标准过程进行裁剪。

2.执行已定义的过程：充分定义的过程是可重复执行的，并使用过程执行的结果数据，对有缺陷的过程结果和安全实践进行核查。

3.协调安全实践：确定业务系统内、各业务系统之间、组织外部活动的协调机制

在组织级别实现了安全过程的规范执行

等级4：量化控制

1.建立可测的安全目标：为组织的数据安全建立可测量目标。

2.客观地管理执行：确定过程能力的量化测量，使用量化测量管理安全过程，并以量化测量作为修正行动的基础

建立了量化目标，安全过程可度量

等级5：持续优化

1.改进组织能力：在整个组织范围内对规程的使用进行比较，寻找改进规程的机会,并进行改进。

2.改进过程有效性：制定处于持续改进状态下的规程，对规程的缺陷进行消除，并对规程进行持续改进

根据组织的整体目标，不断改进和优化安全过程