以DSMM评估认证推动企事业单位数据安全能力建设

在全球化和信息化的背景下，数字化转型已经成为推动各领域发展的关键动力，然而数据的快速增长和应用也带来了前所未有的安全挑战，数据泄露、滥用、篡改和破坏等事件频频发生，不仅对企业造成经济损失，更可能对个人隐私、社会秩序甚至国家安全构成威胁。目前全球范围内的数据安全相关法律、规范和标准相继出台，不仅要求企业保护个人数据不被滥用和泄露，还要求企业建立健全数据安全治理体系，确保数据的合法、合规和安全使用。

DSMM是什么？

数据安全能力成熟度模型（Data security capability maturity model，以下简称DSMM），是用于对一个组织的数据安全能力成熟度进行度量的模型，可为组织衡量当前的数据安全保护能力水平提供参考基准，并设置明确的提升目标。

为什么做DSMM咨询、评估和认证？

DSMM咨询、评估和认证等工作可以有效帮助工业、电信、互联网、金融、卫生健康、教育等领域相关组织机构进行数据安全能力建设规划、差距性分析评估及改进，提升组织内部数据的安全、合规和有效利用；降低数据泄露、篡改和丢失的风险，保护个人隐私和商业机密，维护数据的合法使用和共享；提高用户和客户对数据安全的信任和满意度，增强企业的竞争力和可信度，提升企业的信誉和可持续发展能力。因此，DSMM评估认证是保障数据和网络安全的重要手段，对个人和组织机构都具有重要意义。

DSMM评估和认证的依据是什么？

数据安全能力成熟度（DSMM）评估认证依据国标《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）以及相关行业标准，围绕数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁的整个数据生命周期过程，从组织建设、制度流程、技术工具、人员能力共四个维度进行评估。标准共涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。目前该标准已经成为多行业数据安全建设过程中的依据，于2019年8月30日发布，2020年3月1日正式实施。

DSMM评估需要哪些步骤？

DSMM评估认证工作分“六步走”，具体为评估准备、调研分析、评估定级、报告编制、评估认证和年度复核阶段：

评估方法

问卷调查，制定调研问卷对数据安全相关情况进行调查，通过各相关人员对调查问题的填报来了解数据安全现状。依据检测评估维度和项，设计问卷内容。

人员访谈，指对gaoji管理层、业务部门、职能部门、技术部门等的管理人员及业务骨干人员的面对面访谈，深入了解数据安全现状和存在的数据安全问题。

文档查阅，指对数据安全的管理制度、安全策略、流程机制、合同协议、设计开发和测试文档、运行记录、安全日志等进行查阅、审核，了解数据安全实施情况。

配置查验，对数据安全相关网络、系统、设备的配置、功能或界面进行查验，验证数据处理系统和数据安全技术工具的实施情况以及与标准规范之间存在的差距，将系统实际的配置情况与访谈结果进行比对，将一致性情况进行记录。

技术测试，通过手动测试或自动化工具进行技术测试，验证检测评估对象数据安全措施的有效性和安全防护能力，发现可能存在的数据安全风险。

中国信通院安全研究所依托大数据应用与安全创新实验室已经正式开展DSMM评估认证工作，目前已经积累丰富的DSMM评估认证和建设咨询项目实践经验，助力企业建立健全数据安全责任机制，实现制度流程体系化，推动安全技术产品联动以及人员技能专业培养。同时，安全所业务范围已广泛覆盖电信、互联网、银行、保险等多个关键行业领域，致力于为企业与组织的安全稳定发展奠定坚实基石，为我国数字经济建设筑牢数据安全防线。我们的优势：

专业安全机构评估，quanwei公信。DSMM评估认证结果可通过国家认证认可监督管理委员会以及数据安全共同体计划（DSC）双通道查询。

垂直行业、多领域全面覆盖。中国信通院安全研究所依托在数据安全咨询评估及能力建设的经验，编写完成针对不同行业监管要求的调研问卷、现状分析结果和评估报告，极大地提升了DSMM评估认证对于企业安全能力提升的效果，满足了企业差异化安全需求。

提供跟踪辅导服务，确保持续改进。提供后续评估问题的改进咨询和跟踪服务，协助不断提升数据安全保障能力，保持认证的有效性和可持续性。