DSMM数据安全管理能力成熟度评估
DSMM是Data Security capability MaturityModel的缩写,中文名为数据安全能力成熟度模型。
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)是2020年3月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
评估流程审核评估申请 申请单位应提供数据安全能力成熟度评估申请表及其他必要附件材料,市场人员接收申请表,并根据认证依据、程序等要求,对申请方提交的认证申请书及相关资料进行审理,以确定:
1、所需要的基本信息都得到提供(特别指自评估信息的完整性);
2、公司与申请方之间任何已知的理解差异得到消除;
3、公司有能力并能够实施所申请的认证活动;
4、申请内容是否在评估范围内;
5、申请表填报信息是否完整;
6、申请方的运作场所、期望完成审核需要的时间和任何其他影响认证活动的因素;
7、审核通过的签订服务协议,对不予受理的申请应书面通知申请方。
合同签署 对通过审核的评估申请,按照公司合同签署流程签订服务协议。
DSMM的意义及价值DSMM 标准可为组织在不同阶段,开展数据保护建设,提供分级别的实践指南。通过实施DSMM评估,可以:
1、促进组织机构了解并提升自身的数据安全水平,从数据生命周期的角度出发,结合各类数据业务发展所体现的安全需求开展数据安全保障工作;
2、保障数据在组织机构之间安全地交换与共享,充分发挥数据的价值,打造更安全的大数据应用环境。
那么认证DSMM对企业有哪些价值呢?
资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及 管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
风险防控:数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
合规要求:《数据安全法》《个人信息保护法》等相关 法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。
政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供 政策扶持。
宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业实践,扩大行业知名度,带动行业发展。
核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
DSMM的架构DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。
四个安全能力维度:组织建设、制度流程、技术工具、人员能力;
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
五个安全能力等级:从低到高依次1至5级。
初次申请DSMM可以申请几级申请什么级别主要依据企业的实际情况来判断,没有硬性规定初次申请级别的限制。
大部分组织适合申请DSMM2级,
DSMM3级适合具有较高数据安全实践水平的组织申请,
DSMM4级适合在数据安全领域建设水平领先的组织申请,
DSMM5级暂不开放申请。
企业需要哪些部门参与,做什么准备?涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。
企业如何开展贯标准备工作?
准备工作分为三个阶段:
(1)差距分析:对照能力等级标准的相关要求,梳理本企业数据管理的相关制度、执行过程文档、数据管理平台和工具的相关资料,进行差距分析,制定建设提升工作计划。
(2)能力建设:健全数据管理组织,完善数据管理制度体系,优化数据管理平台和工具,开展对标自评估。
(3)量化评估:组建评估队伍,提交正式评估申请,开展第三方评估,获取评估结果和提升整改意见。