一、認證背景

隨著我國經濟與科技水平的不斷進步，數據已成為各行各業驅動創新發展的重要資源之一。在國家強化數據戰略的大形勢下，《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）于2021年9月1日起正式施行。作為我國數據安全領域的首部專門律法，《數據安全法》明確了各地區部門在數據安全方面的職責與分工，同時鼓勵認證測評專業機構開展數據安全相關檢測評估、認證等服務工作，協助各行各業落實數據安全責任和義務。中共中央網絡安全和信息化委員會辦公室、工業和信息化部、中國人民銀行也陸續出臺了《網絡數據安全管理條例》《工業和信息化領域數據安全管理辦法》《金融數據安全 數據安全分級指南》等相關政策文件和行業標準，為加速推動《數據安全法》的落實,提出《DSMM數據安全能力成熟度模型》。

二、名詞解釋

數據安全能力成熟度模型（Data Security Capability Maturity Mode，簡稱DSMM）是阿里巴巴和中國電子技術標準化研究院在大量實踐和研究的基礎上，聯合三十多家企事業單位共同研究制定的。國家標準委于2019年8月30日正式發布了《信息安全技術 數據安全能力成熟度模型》（GB/T 37988-2019）。

DSMM標準能夠用來衡量一個組織的數據安全能力成熟度水平，可以幫助行業、企業和組織發現數據安全能力短板，相關主管部門也可以用于數據安全管理，根據數據安全能力水平高低決定企業擁有數據的類型和范圍，最終提升全社會的數據安全水平和行業競爭力，確保大數據產業及數字經濟的發展。

三、模型架構

數據安全能力成熟度模型架構主要有三個方面∶

1.五個等級包括∶非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級，形成一個三維立體模型，全方面對數據安全進行能力建設。

2.四大安全能力維度包括∶組織建設、制度流程、技術工具、人員能力；

3.七大數據安全過程維度包括∶數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全）；基于大數據環境下數據在組織機構業務中的流轉情況，定義數據生命周期的6個階段，具體各階段的定義如下∶

1.數據采集∶指在組織機構內部系統中新生成數據，以及從外部收集數據的階段。

2.數據傳輸∶指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。

3.數據存儲∶指數據以任何數字格式進行物理存儲或云存儲的階段。

4.數據處理∶指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。

5.數據交換∶指數據由組織機構與外部組織機構及個人交互的階段。

6.數據銷毀∶指通過對數據及數據的存儲介質通過相應的操作手段，使數據徹底消除且無法通過任何手段恢復的過程。

四、評估內容

DSMM評估以組織為單位，以數據為中心，圍繞數據的生命周期，對組織建設、制度流程、技術工具以及人員能力4個能力維度進行評估，涵蓋5個成熟度級別、30個數據安全能力過程域和576個基本實踐。

1）維度一：安全能力（4個關鍵能力）安全能力維度明確了組織在數據安全領域應具備的能力，包括：組織建設、制度流程、技術工具和人員能力。

2）維度二：能力成熟度等級（5級）共分為5級，具體包括：1級是非正式執行級，2級是計劃跟蹤級，3級是充分定義級，4級是量化控制級，5級是持續優化級。

3）維度三：數據安全過程（6+1）具體包括：數據生存周期安全過程（數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全）和通用安全過程。

五、合適群體

DSMM標準的適用范圍非常廣泛，沒有行業的限制，對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM，包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。

六、貫標價值

1、促進組織機構了解并提升自身的數據安全水平，從數據生命周期的角度出發，結合各類數據業務發展所體現的安全需求開展數據安全保障工作。

2、保障數據在組織機構之間安全地交換與共享，充分發揮數據的價值，打造更安全的大數據應用環境。

3、衡量組織的數據安全能力成熟度水平，幫助行業、企業和組織發現數據安全能力短板。

4、相關主管部門可以用于數據安全管理，根據數據安全能力水平高低決定企業擁有數據的類型和范圍。

5、提升全社會的數據安全水平和行業競爭力，確保大數據產業及數字經濟的發展。

七、證書級別

DSMM評估的目標是幫助各企業和組織基于國家標準來評估其數據安全能力，幫助企業和組織發現數據安全能力短板，提升企業組織的數據安全能力，促進大數據在組織間的交換、共享與流轉，發揮大數據的價值。DSMM將數據安全能力劃分為五個等級，級別越高，代表該企業數據安全能力管理方面越優秀;級別自低向高依次為:1級-非正式執行、2級-計劃跟蹤、3級-充分定義、4級-量化控制、5級-持續優化。證書自頒發之日起有效期3年。