DSMM数据安全能力成熟度评估
随着新一轮科技革命和产业变革的不断推进,以大数据为代表的数据资源正向生产要素的形态演进,对生产力发展、生产关系变化都产生了深远影响。2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,把数据从重要资源提升为关键生产要素,将促进大数据发展作为国家战略。同时,我国数据安全和保护的法律法规也日益完善,网络信息治理和数据保护基础法律的“三驾马车”——《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》均已施行,为数据要素的有效保护和合法利用提供了制度保障。
在企业的经营发展中,数据要素具有基础性、全局性和引领性作用。如何完善数据治理方法和制度,促进数据要素合法、安全、有效流通,充分发挥数据要素价值,是新时代企业面临的重要课题,也对企业数据安全工作提出了新的挑战。
近年来,国家数据安全相关法律及标准不断出台,现有机制已不能满足目前数据安全需求,企业应体系化建立数据安全手段,实现数据的可管、可控、可视。数据安全能力成熟度模型(Data Security Capability Maturity Mode,简称DSMM)由阿里巴巴等三十多家企事业单位在大量实践和研究的基础上共同研究制定的。国家标准委于2019年8月30日正式发布了《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),2020年3月1日正式实施。该标准借鉴能力成熟度模型(CMM)的思想,将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
该标准作为我国现行的唯一通用数据安全国家标准,经过近年来的实践检验已得到了广泛的业内认可。该标准能够用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。
通过DSMM贯标评估工作的实施,对于提升组织的数据安全水平、保障数据的合规使用、增强组织的市场竞争力以及促进数据的安全流通和共享具有重要意义,具体体现在以下几个方面:
1、提升数据安全能力:DSMM标准帮助组织发现数据安全能力的短板,通过评估和改进,提升组织的数据安全管理能力。
2、促进数据交换与共享:DSMM评估有助于保障数据在组织之间的安全交换与共享,从而充分发挥数据的价值,打造更安全的大数据应用环境。
3、符合法律法规要求:随着《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规的实施,DSMM的实施有助于组织符合法律法规的要求,减少法律风险。
4、增强市场竞争力:通过DSMM评估,组织能够展示其数据安全能力,增强客户和合作伙伴的信任,从而提升市场竞争力。
5、提供实践指南:DSMM标准为组织在不同阶段开展数据保护建设提供分级别的实践指南,帮助组织根据自身情况选择合适的数据安全建设路径。
6、全面评估数据安全:DSMM从组织建设、制度流程、技术工具、人员能力四个维度全面评估数据安全,覆盖数据的全生命周期,包括数据采集、传输、存储、处理、交换和销毁。
7、提升组织内部管理:DSMM的实施有助于组织内部建立起更加规范和系统的数据安全管理体系,提高数据安全工作的效率和效果。
DSMM(数据安全能力成熟度模型)在数字化时代,是一个能够被广泛适用的国家标准,适用于所有对数据安全有需求、关注自身数据安全能力建设的组织,包括但不限于以下类型的企业:
数据拥有方:包括大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。
数据方案提供方:如数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。
DSMM贯标认证服务的服务流程如下图所示,主要分为3个阶段:
赛宝认证中心持续支撑广东、安徽、浙江、辽宁、黑龙江等多个省市开展DSMM宣贯推广工作,服务客户覆盖金融、电力、电信、政府、民航等行业,市场占有率全国领先。
赛宝认证中心在安全认证领域深耕多年,拥有一支成熟的数据安全认证团队,长期开展的DSMM、ISO27001、ISO27701等相关业务活动与数据安全防护有着极高的互通性。依托长期储备的技术能力,已迅速积累了数据安全管理的技术力量。赛宝认证中心依托丰富的认证服务业务,切近企业一线,熟悉客户群体的安全状况,能够从不同角度获取各行业客户的业务和数据安全状态的信息,再加上前期积累的数据安全管理的实践经验,能够为企业推动数据安全管理工作提供助力。
在DSMM认证技术领域,赛宝认证中心开发了“七步贯标法”、“DSMM量化评价法”能够基于企业数据业务的实际风险,量化评定企业不同场景下的数据安全能力情况,从管理风险、技术风险双维度发现企业的数据安全短板,帮助企业优化数据安全能力,提升数据安全防护水平。
在参与标准研制方面,赛宝认证中心组织业内相关单位研制有团体标准《信息技术服务 数据安全能力模型》,旨在为科学有效地评价信息技术服务提供者的数据安全能力水平,指导信息技术服务提供者数据安全能力。