什么是DSMM？

數(shù)據(jù)安全能力成熟度模型（Data Security Capability Maturity Mode,簡稱DSMM）是阿里巴巴和中國電子技術(shù)標(biāo)準化研究院在大量實踐和研究的基礎(chǔ)上，聯(lián)合三十多家企事業(yè)單位共同研究制定的。國家標(biāo)準委于2019年8月30日正式發(fā)布了《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）。該標(biāo)準能夠用來衡量一個組織的數(shù)據(jù)安全能力成熟度水平，可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板，相關(guān)主管部門也可以用于數(shù)據(jù)安全管理，根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍，最終提升全社會的數(shù)據(jù)安全水平和行業(yè)競爭力，確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟的發(fā)展。

為什么開展DSMM？

DSMM 標(biāo)準可為組織在不同階段，開展數(shù)據(jù)保護建設(shè)，提供分級別的實踐指南。通過實施DSMM評估，可以：

• 1、促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作；
• 2、保障數(shù)據(jù)在組織機構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。 

辦理DSMM認證的流程產(chǎn)品介紹

數(shù)據(jù)安全能力成熟度模型架構(gòu)主要有三個方面：

1.五個等級包括：非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個三維立體模型，全方面對數(shù)據(jù)安全進行能力建設(shè)。
2.四大安全能力維度包括：組織建設(shè)、制度流程、技術(shù)工具、人員能力；
3.七大數(shù)據(jù)安全過程維度包括：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全）；

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況，定義數(shù)據(jù)生命周期的6個階段，具體各階段的定義如下：

1.數(shù)據(jù)采集：指在組織機構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，以及從外部收集數(shù)據(jù)的階段。
2.數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構(gòu)內(nèi)部從一個實體通過網(wǎng)絡(luò)流動到另一個實體的階段。
3.數(shù)據(jù)存儲：指數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。
4.數(shù)據(jù)處理：指組織機構(gòu)在內(nèi)部針對數(shù)據(jù)進行計算、分析、可視化等操作的階段。
5.數(shù)據(jù)交換：指數(shù)據(jù)由組織機構(gòu)與外部組織機構(gòu)及個人交互的階段。

6.數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的存儲介質(zhì)通過相應(yīng)的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。

DSMM每個級別有什么區(qū)別

DSMM等級劃分與核心特點如下：
L1非正式執(zhí)行：執(zhí)行非正式過程，隨機、無序、被動執(zhí)行安全過程，依賴個人經(jīng)驗，無法復(fù)制。
L2計劃跟蹤：在業(yè)務(wù)系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行，但沒有形成體系化，可驗證過程執(zhí)行與計劃一致，跟蹤、控制執(zhí)行的進展。
L3充分定義：在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準過程進行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。
L4量化控制：建立了量化目標(biāo)，安全過程可度量。
L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進和優(yōu)化組織能力和安全過程有效性。

初次申請DSMM可以申請幾級

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請，DSMM5級暫不開放申請。

DSMM評價方法

DSMM的評價方法主要是評分制，先對每個過程域（PA）的四個能力維度（BP）進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

哪些企業(yè)適合申請DSMM

DSMM標(biāo)準的適用范圍非常廣泛，沒有行業(yè)的限制，對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM，包括但不限于數(shù)據(jù)運營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

申請DSMM，企業(yè)需要哪些部門和角色的參與

涉及到的相關(guān)部門主要有數(shù)據(jù)安全管理部門、信息安全部門、信息科技部門、數(shù)據(jù)管理部門、業(yè)務(wù)條線部門（業(yè)務(wù)主管、業(yè)務(wù)處理）、風(fēng)險管理部門、法務(wù)部門、人力資源部門、內(nèi)控合規(guī)部門、審計部門等。

證書