《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）（以下簡稱“DSMM”）是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評(píng)中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn)，于2019年8月30日發(fā)布，2020年3月1日正式實(shí)施。

(資料圖片僅供參考)

近年來，隨著信息技術(shù)和人類生產(chǎn)生活交匯融合，通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種數(shù)據(jù)迅猛增長。為了便于大家可以快速了解DSMM，擎標(biāo)給大家將常見的問題做了匯總。

一、DSMM的基礎(chǔ)申報(bào)條件

具有獨(dú)立企業(yè)法人地位，屬于數(shù)據(jù)擁有方或數(shù)據(jù)方案提供方；

社會(huì)信譽(yù)良好，有良好的知識(shí)產(chǎn)權(quán)保護(hù)意識(shí)，近三年無觸犯國家法律法規(guī)的行為，無經(jīng)營異?；驀?yán)重違法失信行為，無不正當(dāng)競爭行為；

滿足《GB_T 37988-2019 信息安全技術(shù)　數(shù)據(jù)安全能力成熟度模型》相應(yīng)級(jí)別要求；

有5人左右參與相關(guān)數(shù)據(jù)安全管理工作的人員。

二、DSMM的等級(jí)劃分有哪些？

DSMM將數(shù)據(jù)管理能力成熟度劃分為五個(gè)等級(jí)，自低向高依次為

1級(jí):非正式執(zhí)行、2級(jí)：計(jì)劃跟蹤、3級(jí)：充分定義、4級(jí)：量化控制、5級(jí)：持續(xù)優(yōu)化，不同等級(jí)代表企業(yè)數(shù)據(jù)安全管理和應(yīng)用的成熟度水平不同。

數(shù)據(jù)安全過程維度——數(shù)據(jù)生命周期全過程，包括數(shù)據(jù) 采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、 數(shù)據(jù)銷毀安全，以及通用安全過程。

三、DSMM每個(gè)級(jí)別有什么區(qū)別？

L1非正式執(zhí)行：執(zhí)行非正式過程，隨機(jī)、無序、被動(dòng)執(zhí)行安全過程，依賴個(gè)人經(jīng)驗(yàn)，無法復(fù)制。

L2計(jì)劃跟蹤：在業(yè)務(wù)系統(tǒng)級(jí)別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行，但沒有形成體系化，可驗(yàn)證過程執(zhí)行與計(jì)劃一致，跟蹤、控制執(zhí)行的進(jìn)展。

L3充分定義：在組織級(jí)別實(shí)現(xiàn)了安全過程的規(guī)范執(zhí)行，標(biāo)準(zhǔn)過程進(jìn)行制度化，過程可重復(fù)執(zhí)行，執(zhí)行結(jié)果可核查。

L4量化控制：建立了量化目標(biāo)，安全過程可度量。

L5持續(xù)優(yōu)化：根據(jù)組織的整體目標(biāo)，不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。

四、DSMM的架構(gòu)

DSMM的架構(gòu)由四個(gè)安全能力維度、七個(gè)安全過程維度、五個(gè)安全能力等級(jí)構(gòu)成。四個(gè)安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力；

七個(gè)安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計(jì)30個(gè)過程域；

五個(gè)安全能力等級(jí)：從低到高依次1至5級(jí)。

七、DSMM評(píng)估方式有哪些？

DSMM評(píng)估方式主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗(yàn)證等方式，具體情況如下：

（1）文檔審核：由被評(píng)價(jià)組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料（如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄 和其他配套表單）、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)。

（2）配置檢查：根據(jù)被審核方提供的技術(shù)材料，登陸相關(guān)的系統(tǒng)工具 平臺(tái)，檢査配置是否與材料保持一致，對(duì)文檔審核內(nèi)容進(jìn)行核實(shí)。

（3）工具測試：利用技術(shù)工具對(duì)系統(tǒng)工具進(jìn)行測試，驗(yàn)證是 否符合數(shù)據(jù)安全成熟度模型特定等級(jí)的技術(shù) 能力要求，也可采信第三方的測試報(bào)告。

（4）旁站式驗(yàn)證：審核人員在現(xiàn)場通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況。

（5）人員訪談：通過訪談的方式與被審核方進(jìn)行交流、討論 等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。

擎標(biāo)信息技術(shù)服務(wù)有限公司是一家致力于科技風(fēng)險(xiǎn)與合規(guī)內(nèi)控領(lǐng)域提供解決方案的咨詢服務(wù)機(jī)構(gòu)。公司主要從事ITSS、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、CCRC、涉密資質(zhì)等領(lǐng)域的管理規(guī)劃、體系建設(shè)、工具支持及咨詢?cè)u(píng)估服務(wù)。

關(guān)鍵詞：