數據安全能力成熟度管理體系認證(DSMM)

一、業(yè)務(wù)背景

在全球信息化進(jìn)入全面滲透、跨界融合、加速創(chuàng )新、引領(lǐng)發(fā)展的大趨勢下，數據呈現爆發(fā)增長(cháng)，也帶來(lái)了前所未有的風(fēng)險與安全挑戰，對數據的掌控能力日益成為衡量國家競爭力的關(guān)鍵因素，數據安全成為大國博弈的戰場(chǎng)之一。國家對數據安全給與了極大的關(guān)注，《中華人民共和國數據安全法》是為了規范數據處理活動(dòng)，保障數據安全，促進(jìn)數據開(kāi)發(fā)利用，保護個(gè)人、組織的合法權益，維護國家主權、安全和發(fā)展利益，制定的法律，自2021年9月1日起施行。GB/T 37988-2019《信息安全技術(shù) 數據安全能力成熟度模型》（以下簡(jiǎn)稱(chēng)DSMM）適用于對組織數據安全能力進(jìn)行評估，也可作為組織開(kāi)展數據安全能力建設時(shí)的依據。

二、業(yè)務(wù)介紹

數據安全能力成熟度認證是依據《信息安全技術(shù) 數據安全能力成熟度模型》標準（GB/T 37988-2019），對企業(yè)的數據安全能力進(jìn)行檢驗，對數據安全能力等級做出評價(jià)。

《信息安全技術(shù) 數據安全能力成熟度模型》（GB/T 37988-2019）（以下簡(jiǎn)稱(chēng)DSMM）于2019年8月30日發(fā)布，2020年3月1日正式實(shí)施。該標準由阿里巴巴聯(lián)合中國電子技術(shù)標準化研究院、中國信息安全測評中心等業(yè)內權威機構、學(xué)術(shù)單位、企業(yè)多方，經(jīng)標準預研、標準編制、試點(diǎn)應用、提升完善，最終成為國家標準，由全國信息安全標準化技術(shù)委員會(huì )（SAC/TC260）提出并歸口，國家市場(chǎng)監督管理總局與中國國家標準化管理委員會(huì )聯(lián)合發(fā)布。

GB/T 37988以組織的數據為中心，圍繞數據的采集、傳輸、存儲、處理、交換、銷(xiāo)毀全生命周期，從組織建設、制度流程、技術(shù)工具、人員能力4個(gè)能力維度，按照1-5級成熟度，評判組織的數據安全能力。

數據安全能力成熟度模型（DSMM）的模型架構由以下三個(gè)維度構成（如圖1所示）：

a)安全能力維度

安全能力維度明確了組織在數據安全領(lǐng)域應具備的能力，包括組織建設、制度流程、技術(shù)工具 和人員能力。

b) 能力成熟度等級維度

數據安全能力成熟度等級劃分為五級，具體包括：1級是非正式執行級：2級是計劃跟蹤級，3 級是充分定義級，4級是量化控制級，5級是持續優(yōu)化級。

c)數據安全過(guò)程維

1)數據安全過(guò)程包括數據生存周期安全過(guò)程和通用安全過(guò)程；

2)數據生存周期安全過(guò)程具體包括：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷(xiāo)毀安全6個(gè)階段，如圖2所示。

圖1 DSMM架構圖

特定的數據所經(jīng)歷的生存周期由實(shí)際的業(yè)務(wù)所決定，可為完整的6個(gè)階段或是其中的幾個(gè)階段。 PA （過(guò)程域Process Area）體系分為數據生存周期安全過(guò)程和通用安全過(guò)程兩部分，共包含30個(gè) PA

圖2 數據安全PA體系

三、實(shí)施該業(yè)務(wù)的價(jià)值 

 1、理清企業(yè)數據安全現狀，發(fā)現企業(yè)和組織的數據安全能力短板。

 2、帶來(lái)差異化競爭力：數據安全能力成熟度的認證能向企業(yè)的客戶(hù)及合作伙伴表明組織保障數據安全的能力，令其對組織的信心加強，有助于增加組織在同行業(yè)內的競爭優(yōu)勢，穩固市場(chǎng)地位。

3、減少可能的損失：數據安全能力的提升，能在一定程度上降低數據安全事件給組織帶來(lái)的不良聲譽(yù)影響和可能的經(jīng)濟損失。

 4、增強員工的意識和相關(guān)技能：提升組織數據安全管理人員的技能，增強全體員工的數據安全意識，確保已建立的數據安全保障體系有效運轉和持續提升，從而整體上提升企業(yè)的數據安全水平。

 5、從數據的安全保護、合規使用到數據的開(kāi)發(fā)利用，數據安全能力成熟度的認證和持續監督審核是組織數據安全的體檢措施，能為數據生產(chǎn)要素價(jià)值的實(shí)現打好基礎。

四、業(yè)務(wù)流程

企業(yè)如想要獲得數據安全能力成熟度認證證書(shū)，首先需要對照《信息安全技術(shù) 數據安全能力成熟度模型》（GB/T 37988-2019）標準進(jìn)行差距分析；其次建立數據管理組織，完善制度，內部運行并開(kāi)展自評估，確定申請認證的數據安全能力成熟度等級；根據自評估結果向賽西認證提出認證申請，賽西認證收到企業(yè)提供的資料后，與企業(yè)簽訂認證合同，按照公正、合理、規范的原則，對企業(yè)的數據安全能力進(jìn)行檢驗和評價(jià)，按照最終的評價(jià)結果頒發(fā)相應的等級證書(shū)。  

組織應向賽西認證提供申請認證的所有業(yè)務(wù)系統運行的充分信息，認證時(shí)要到企業(yè)業(yè)務(wù)系統所涉及的物理場(chǎng)所進(jìn)行現場(chǎng)評價(jià)，最后得出綜合的評價(jià)結論。所以企業(yè)在提交數據安全能力成熟度認證申請表時(shí)，需要提交申請認證的業(yè)務(wù)系統所涉及的場(chǎng)所清單，評價(jià)時(shí)會(huì )對網(wǎng)點(diǎn)進(jìn)行抽樣。

認證分兩個(gè)階段進(jìn)行：：第一階段審核，主要對申請方的《信息安全技術(shù) 數據安全能力成熟度模型》自評估表以及相關(guān)佐證材料進(jìn)行文件審查，對文件審查中發(fā)現的未達到項，申請方應及時(shí)修改、補充提交必要的文件，文件整改實(shí)施期限原則上不超過(guò) 10 個(gè)工作日，評價(jià)組出具文件審查報告，給出是否進(jìn)行現場(chǎng)評價(jià)的建議及現場(chǎng)評價(jià)中需重點(diǎn)關(guān)注的事項。；第二階段審核，認證機構評價(jià)組依據GB/T37988-2019對組織的數據安全管理能力相關(guān)的“組織建設、制度流程、技術(shù)工具、人員能力”安全能力維度BP進(jìn)行審核，作出現場(chǎng)審核的推薦結論。

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督，兩次監督間隔不得超過(guò)12個(gè)月。