24h服务热线:4000328809 / 0512-62928246
解读DSMM认证-DSMM如何认证+评估关键要素+DSMM认证价值
日期:
2024-06-07
发布者:
admin
浏览次数:
1000

解读DSMM认证-DSMM如何认证+评估关键要素+DSMM认证价值

一、DSMM认证是什么?
DSMM(Data Security capability MaturityModel)认证是我国首个依据国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)开展的数据安全认证,该标准是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,是国内第一个数据安全标准认证,于2019年8月30日发布,2020年3月1日正式实施。   

 

1、DSMM有几个级别?

DSMM以组织数据为中心,围绕数据生存周期安全过程和通用安全过程,从组织建设、制度流程、技术工具、人员能力4个能力维度,将数据安全能力划分为五个等级(五个级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。)级别越高,代表该企业数据安全能力管理方面越优秀,以评判组织的数据安全能力。

 

2、DSMM每个级别有什么区别?

DSMM等级划分与核心特点如下:

L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。

L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。

L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。

L4量化控制:建立了量化目标,安全过程可度量。

L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。

3、DSMM证书是什么样的?

 

4、DSMM证书有效期多久?

证书有效期为三年,根据现行评估规则不需要每年监督。证书到期前至少提前三个月申请再认证评估。

5、DSMM与ISO27001和等保标准有啥区别?

ISO27001标准是以组织为对象,偏向信息安全管理,侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施,设计构建信息安全管理体系。

等保标准以备案系统为主要评估对象,偏向传统网络系统安全,侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。

DSMM标准也是以组织为评估对象,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构。

二、DSMM的评估内容具体有哪些?

DSMM评估以组织为单位,以数据为中心,围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。

四个能力维度:组织建设、制度流程、技术工具、人员能力。

七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个数据安全能力过程域和576个基本实践;

五个安全能力等级:从低到高依次1至5级。

影响DSMM评估的关键要素有哪些?

1)能力建设目标
DSMM评估首先要确定建设目标,即数据安全能力成熟度级别。DSMM为五个等级(五个级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。)级别越高,代表该企业数据安全能力管理方面越优秀,以评判组织的数据安全能力。

2)数据资产范围
数据资产是为组织产生价值的数据资源,是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。
核心业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织,业务系统未进行集成化管理,具备几十甚至上百个系统,大大增加了DSMM评估企业的整改成本。
因此,评估过程中,组织需平衡业务系统数据安全整改成本与数据资产收益。

3)数据安全风险
DSMM评估工作过程中,组织需对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程,梳理数据安全风险点,并记录所有风险点,全面掌握自身的数据安全能力现状与建设目标的差距。

4)数据安全意识
评估过程中需具备丰富的数据安全风险意识。
依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。
依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。
5)数据安全团队
评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。

三、企业如何申请DSMM认证?

1、DSMM认证适用哪些企业?

任何关注数据安全的企业和组织都可以使用DSMM进行评估和提升。特别是那些面临着大量敏感数据处理和存储的行业,如金融、医疗、电商等,更需要通过DSMM来确保数据的安全和合规性。
申请DSMM贯标的企业主要分两大类:

数据拥有方:大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

数据方案提供方:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。

2、初次申请的企业可以申请什么级别?

申请什么级别主要依据企业的实际情况来判断,没有硬性规定初次申请级别的限制。
大部分组织适合申请DSMM2级,
DSMM3级适合具有较高数据安全实践水平的组织申请,
DSMM4级适合在数据安全领域建设水平领先的组织申请,
DSMM5级暂不开放申请。

3、企业申请DSMM贯标的流程是什么?
企业进行DSMM认证大概可以分3个阶段:分别是差距分析、能力建设、测量评估阶段:

 

4、DSMM的认证机构有哪些?

DSMM认证机构主要包括北京赛迪认证中心有限公司和赛宝认证中心。这两个认证机构都是经过国家认监委批准的第三方数据安全能力成熟度(DSMM)认证机构。它们负责对企业组织的数据安全能力进行评估和认证,帮助企业发现、识别和定位数据安全风险,提出数据安全能力提升路径,以满足国家、行业等安全合规要求。

5、企业申请DSMM认证有哪些交付物?

评估结果:DSMM标准重点关注企业业务数据,以衡量组织机构安全能力,全面展示企业数据安全能力项成熟度评估等级。

评估报告:帮助企业展示数据安全能力现状,识别数据安全能力相关问题,给出评估结论、详细评估结果和阶段性安全提升建议等,给出评估等级建议。

6、企业如何核查DSMM证书的有效性和公正性?

可通过国家市场监督管理总局全国认证认可信息公共服务平台:
http://cx.cnca.cn/CertECloud/index/index/page查询证书详情,并核查验证证书的有效性。

7、认证DSMM给企业带来哪些好处?

1)资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及 管理措施,提高企业数据安全保护意识,保障企业数据资产安全。

2)风险防控:数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。

3)合规要求:《数据安全法》《个人信息保护法》等相关 法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。

4)政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,很多地区政府对通过DSMM认证的企业都有资金补贴。

5)宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。

6)核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。


上一篇:【系统集成】关于项目管理人员登记工作的安排 下一篇:已经没有了
>