快速办理DSMM数据安全成熟度评估，DSMM介绍、DSMM评估流程、CMMI等级划分、​DSMM评估适用对象、DSMM评估收益

什么是DSMM：

     《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）（以下简称“DSMM”）是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。

       DSMM国家标准以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评价组织的数据安全能力。

DSMM评估介绍

2 DSMM评估介绍

2.1 评估依据

       数据安全能力成熟度评估（以下简称“DSMM评估”）是依据《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）国家标准和《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估。

2.2 评估内容

       DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

1、 评估流程 

1.1 初次评估

1.1 受理评估申请  

       审核评估申请 申请单位应提供数据安全能力成熟度评估申请表及其他必要附件材料，市场人员接收申请表，并根据认证依据、程序等要求，对申请方提交的认证申请书及相关资料进行审理，以确定：

       1）所需要的基本信息都得到提供（特别指自评估信息的完整性）； 

       2）公司与申请方之间任何已知的理解差异得到消除；

       3）公司有能力并能够实施所申请的认证活动；

       4）申请内容是否在评估范围内； 

       5）申请表填报信息是否完整；

       6）申请方的运作场所、期望完成审核需要的时间和任何其他影响认证活动的因素；

       审核通过的签订服务协议，对不予受理的申请应书面通知申请方。

       合同签署 对通过审核的评估申请，按照公司合同签署流程签订服务协议。 

1.2 组建评估工作组

       服务协议签订后，业务部门管理者组建评估工作组并指定评估工作组组长，由评估工作组组长负责评估阶段各项工作组织。

1.3 制定评估计划及方案

       需求分析  评估工作组应与申请单位进行需求沟通，明确本次评估目的、限制条件、评估范围及成果输出，并做出公正性和保密性承诺。需求澄清结果应征得工作组与申请单位代表的共同认可。

       制定评估计划  评估工作组应制定详尽的实施计划，计划内容应包含但不限于评估内容及范围、现场评估地点、工作组分工、工作日程安排、项目中止条件等。

       编制评估方案  评估工作组应编制满足需求的评估方案。

1.4 文件评审

       评估工作组依据认证依据和评估方案对申请方提交的文件资料开展审核，记录审核项结果，并将审核结论通知申请方。

文件审核内容包括：

       1) 申请表信息是否完整

       2) 企业是否基本具备所申请能力等级的基本条件

审核结论包括：

       1）基本符合所申请能力等级要求，准许进入现场审核；

       2）不符合所申请能力等级要求，退回申请或请申请方重新评估申请能力等级后再次提交申请；

       3）文件资料不完整，需待申请方完成相应修订后重新审核给出结论；

1.5 实施现场评估

       组织实施评估，现场评估工作需在申请单位的主要经营和技术研发所在地。

       开工会  评估工作组需在入场正式评估前与申请单位相关负责人及团队召开开工会，明确评估目标，对齐工作计划，宣布工作纪律及相应要求，确保在评估过程中能够得到必需的支持和配合。

       现场评审  评估工作组依据认证依据和评估方案实施评估，评估过程需遵守保密性、公正性要求，运用合适的方法及工具对文件资料、人员、环境等开展现场评估，并如实记录审核项结果。

       结果评定  评估工作组对评估过程中收集的信息和证据进行汇总分析，就评估结果达成一致，整理输出评估报告。在评估过程中发现的不符合项和建议项应开具不符合项和建议项报告。

       不符合项整改 对审核中发现的不符合项，申请单位组织分析原因，并在不超过 3 个月期限内采取纠正和纠正措施。在组织完成整改或达到整改期限后，审核组对申请组织所采取的纠正和纠正措施及其结果的有效性进行验证。

       结果汇报  评估工作组就评估结果召开汇报会议，向申请单位相关负责人及团队汇报评估报告、不符合项及建议报告，并就结果与申请单位达成一致。对未达成一致的评估结果，评估工作组应如实记录分析，向公司申请复核。 

1.6 评估决定 

       发证申请  评估组组长向认证决定人员提交书面评估结果， 申请证书发放。

       结果复核  针对评估结果为“能力成熟度等级4：量化控制”、“能力成熟度等级5：持续优化”或有争议评估结果，组建复核工作组，开展结果复核，并给出复核结论。

       证书发放  认证决定人员对于符合要求或完成复核的受审项目，颁发认证证书。

2、监督审查

        对获得认证证书的组织，本机构将开展相应监督审查工作。监督审查相关要求：

        1）每年度进行一次监督审核，周期不超过 12 个月；

        2）若超过期限未能实施监督审核的，应按照《认证证书和标志的管理程序》对其进行管理；

        3）当本机构收到关于获证组织发生重大数据安全事故或组织结构、人员等方面发生重大变更等信息或投诉，并认为需要核实的，本机构可增加现场监督审核的频次。

        监督审核完成后，本机构根据监督审核情况和审核报告，作出保持、暂停或者撤销认证证书的决定。涉及证书状态变化的，需向证书持有者发出书面通知，收到被注销或撤销认证证书资格通知的组织，应于接到通知单的 5 个工作日内将证书交还至本机构。

       本机构将在官方网站上公布年度监督审核结果。

3、再评估

       证书有效期三年，若获证组织申请继续持有评估证书， 则应在评估证书有效期满前三个月向公司提出再评估申请，并提交相关资料。

       再评估活动的流程与初次评估相同，再评估的认证决定通过后，为获证组织换发新的认证证书。 

初次申请DSMM可以申请几级：

       申请什么级别主要依据企业的实际情况来判断，没有硬性规定初次申请级别的限制。大部分组织适合申请DSMM2级，DSMM3级适合具有较高数据安全实践水平的组织申请，DSMM4级适合在数据安全领域建设水平领先的组织申请，DSMM5级暂不开放申请。

DSMM评估收益

        1、帮助指导组织机构发现数据安全能力短板；

        2、提升组织机构的数据安全管理能力；

        3、增加企业数据安全的意识。

DSMM评估适用对象

       数据拥有方：大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

       据方案提供方：数数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。