数据安全能力成熟度评估

01

DSMM

我国于2020年3月开始实施国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》。

该标准提出数据安全能力成熟度模型（DSMM，Data Security Capability Maturity Mode的缩写），对数据的整个生命周期进行评估，能够帮助组织发现自身数据管理存在的问题，识别差距并制定相关策略，建立数据安全治理体系，Zui终提升数据安全水平和行业竞争力。

02

DSMM的意义和价值

1、促进组织机构了解并提升自身的数据安全水平，从数据生命周期的角度出发，结合各类数据业务发展所体现的安全需求开展数据安全保障工作。

2、保障数据在组织机构之间安全地交换与共享，充分发挥数据的价值，打造更安全的大数据应用环境。

3、衡量组织的数据安全能力成熟度水平，帮助行业、企业和组织发现数据安全能力短板。

4、相关主管部门可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围。

5、提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。

03

DSMM模型结构

维度一：安全能力（4个关键能力） 安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力。

安全能力维度明确了组织在数据安全领域应具备的能力。指的是组织、制度、人员和工具四个核心要素，四个要素是递进关系。首先，组织和制度是企业开展数据治理工作的前提，其次，人员和工具是落实数据管理工作的手段。

维度二：能力成熟度等级（5级） 共分为5级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。从低到高依次1至5级。

能力成熟度等级基于统一的分级标准，级别越高，数据安全能力要求越高，第3级是各个企业的基础目标。

维度三：数据安全过程（6+1） 具体包括：数据生存周期安全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程。特定的数据所经历的生存周期由实际的业务所决定，可为完整的6个过程或是其中的几个过程。每个数据生存周期安全过程均由若干过程域PA，只有每个过程域PA的目标实现了，才表示该安全过程得以控制。

数据安全过程包括数据安全生存周期过程与通用安全过程。安全过程可分为30个过程域（PA），每一个PA由一些基本实践（BP）组成  (合计576个BP)， 只有满足特定PA中所有的BP，该PA才算符合要求。

04

DSMM模型使用方法

05

DSMM等级评估流程

1. 确定模型适用范围：分析需要保护的数据资产及业务范围，确定模型使用或 评估范围。

2. 确定能力成熟度级别目标：分析组织机构数据安全风险，确定能力成熟度等级建设目标。

3. 选取安全过程域：针对组织机构的数据相关的业务现状，选取适当的数据 安全过程域纳（PA）。

4. 执行基本实践：依据标准对各等级数据安全基本实践（BP）要求，从四个关键能力进行落地和不断改进提升。

5. 过程域（PA）安全评估：基于选择的安全过程域范畴，针对各项安全过程域对组织机构的数据安全实践情况进行现状的调研和分析。

6. 确定组织机构整体等级：结合所有过程域的等级，确定组织机构整体的数据安全能力成熟度等级，对数据安全能力进行持续建设和改进。

06

数据安全能力成熟度等级评定

当前业务系统大量依赖于大数据技术、共享技术，敏感数据较多，数据在业务环节中流动复杂，可按照数据安全能力成熟度模型（DSMM）中定义安全域（PA），结合业务实际场景，对每个PA进行评估，形成整体的数据安全能力评估报告。