DSMM数据安全能力成熟度标准介绍

1、 DSMM标准介绍

       《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）（以下简称“DSMM”）是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。

       DSMM国家标准以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评价组织的数据安全能力。

2、 DSMM评估介绍

2.1 评估依据

       数据安全能力成熟度评估（以下简称“DSMM评估”）是依据《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）国家标准和《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估。

2.2 评估内容

       DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

图1：DSMM架构图

图2：DSMM数据安全PA体系

图3：数据生命周期

2.3 评估流程

图4：DSMM评估流程

2.4 评估目标

图5：DSMM能力等级划分

2.5 评估交付物

       评估结果：DSMM标准重点关注企业业务数据，以衡量组织机构安全能力，全面展示企业数据安全能力项成熟度评估等级。

       评估报告：帮助企业展示数据安全能力现状，识别数据安全能力相关问题，给出评估结论、详细评估结果和阶段性安全提升建议等，给出评估等级建议。

图6：DSMM评估报告（样例）

图7：DSMM过程域能力等级分布情况（样例）

4、 DSMM评估收益

帮助指导组织机构发现数据安全能力短板；

提升组织机构的数据安全管理能力；

增加企业数据安全的意识。

5、 DSMM评估适用对象

       数据拥有方：大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

       据方案提供方：数数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。