DSMM数据安全能力成熟度

DSMM，全称为Data Security capability MaturityModel，中文名为数据安全能力成熟度模型。这是基于国标《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）的相关条款而构建的一种数据安全保护体系。DSMM围绕数据生存周期过程中的各个阶段以及数据的通用安全，从组织建设、制度流程、技术工具、人员能力四个维度对企业的数据安全能力进行评估。

DSMM标准具有五个成熟度级别、三十个数据安全能力过程域和五百七十六个基本实践。这些实践旨在帮助企业发现自身在数据安全方面存在的问题，识别存在的差距，并制定相关的解决策略，以建立和完善自身的数据安全体系。

DSMM认证的等级

DSMM认证的五个等级分别是：1级（非正式执行级）、2级（计划跟踪级）、3级（充分定义级）、4级（量化控制级）和5级（持续优化级）。

1级（非正式执行级）

组织的数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2级（计划跟踪级）

组织对数据安全有了一些基本的控制措施，但是缺乏完整的数据安全管理体系。在数据安全领域的部分场景或项目中有相关的工作，但缺乏完整的数据安全管理体系。

3级（充分定义级）

组织已经建立了比较完整的数据安全管理体系，包括了组织建设、制度流程、技术工具、人员能力等方面。在数据安全领域的大部分场景或项目中都有相关的工作，并且有完整的数据安全管理体系。

4级（量化控制级）

组织已经建立了高度完善和规范化的数据安全管理体系，并且在数据安全领域的所有场景或项目中都有相关的工作。此外，组织还拥有完善的数据安全管理流程和技术工具。

5级（持续优化级）

根据组织的整理战略和目标，不断改进和优化数据安全过程。组织会在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。目前这个级别的认证暂时不开放申请。

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估。

DSMM认证对企业的意义

1. 理清企业数据安全现状，发现企业和组织的数据安全能力短板。DSMM认证能够帮助企业全面了解自身在数据安全方面的现状，找出存在的问题和不足。

2. 带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势。

3. 提升企业的数据安全水平：DSMM标准可为组织在不同阶段，开展数据保护建设，提供分级别的实践指南。通过实施DSMM评估，可以促进组织机构了解并提升自身的数据安全水平。

4. 促进数据在组织间的交换、共享与流转，发挥大数据的价值：DSMM评估的目标是帮助各企业和组织基于国家标准来评估其数据安全能力，从而提升企业组织的数据安全能力，促进大数据在组织间的交换、共享与流转。

DSMM认证流程

1. 准备并提交认证申请材料：这些材料需要由客户方盖章后寄给认证单位。认证单位会首先对这些收到的认证申请材料进行审核，以了解受审方的业务现状、系统现状和数据现状。

2. 确定认证范围：在了解了受审方的具体情况下，认证单位会圈定最初的认证范围，为后续的正式审核做好准备。

3. 现场审核：认证单位会根据确定的认证范围进行现场审核，这包括对组织建设、制度流程、技术工具以及人员能力等四个能力维度的评估。

4. 评估报告编制：在完成现场审核后，认证单位会根据审核结果编制评估报告。这份报告将详细反映受审方在数据安全方面的能力成熟度，并提出针对性的改进建议。

5. 最终评估结果的发布：认证单位会向受审方发布最终的评估结果。如果受审方达到或超过某一成熟度级别，那么他们将获得相应的DSMM认证等级。