加强数据安全管理,释放数据要素价值,已经成为各个行业高度重视的基础性工作。早在2019年,我国就出台了国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)(简称“DSMM”),这也是我国首部数据安全管理的国家标准。该标准于2020年3月1日正式实施,已成为组织发现数据安全能力短板,提升数据安全能力,促进大数据在组织间的交换、共享与流转提供可以依循的标准模型。为帮助企业组织优化提升数据安全管理能力,中国信通院上海工创中心根据北京DSMM认证标准及评估要求,进行相关解读。
DSMM 评估框架概述
DSMM国家标准以组织的数据为中心,围绕数据安全过程,从组织建设、制度流程、技术工具、人员能力4个能力维度,将数据安全能力划分为五个等级,级别越高,代表该企业数据安全能力管理方面越优秀,用以评判组织的数据安全能力。
数据安全过程包括数据生存周期安全过程和通用安全过程。
DSMM的评价方法主要是评分制,先对每个过程域的四个能力维度进行打分,再通过计算平均分、修正分值的方式,最终得到整体的综合得分。
DSMM标准的适用范围和贯标意义是什么?
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请北京DSMM认证。
DSMM评估的目标是基于国家标准来评估企业和组织的数据安全能力,帮助企业和组织发现数据安全能力短板,提升企业组织的数据安全能力,促进数据在组织间的交换、共享与流转,发挥大数据的价值。
DSMM贯标工作,可为组织在不同阶段开展数据保护建设提供分级别的实践指南;促进组织机构了解并提升自身的数据安全水平;推动组织更好地开展数据安全保障工作;保障数据在组织机构之间安全地交换与共享,打造更安全的大数据应用环境。
DSMM评估的等级如何确定?
申请的等级认定主要依据企业的实际情况来判断,无硬性规定。大部分组织适合申请DSMM2级,DSMM3级适合具有较高数据安全实践水平的组织申请,DSMM4级适合在数据安全领域建设水平领先的组织申请,DSMM5级暂不开放申请。
DSMM评估的结果及交付物是什么?
北京DSMM认证评估结束后,评估机构会交付给被评估单位一份评估报告,用于帮助企业展示数据安全能力现状,识别数据安全能力相关问题,包括评估结论、详细评估结果和阶段性安全提升建议等,并给出评估等级建议。评估报告通过专家评审,确定对应数据安全能力成熟度等级后,发证机构会向被评估单位颁发DSMM证书。