业务介绍丨数据安全能力成熟度（DSMM）评估咨询服务

甲辰龙年，新征程。新年伊始，创信华通数据安全服务团队向市场推出四大数据安全评估咨询服务，包括：

①数据安全能力成熟度（DSMM）评估咨询服务；

②数据安全管理(DSM)认证咨询服务；

③个人信息保护（PIP/PIPCB）认证咨询服务；

④APP安全认证评估咨询服务。

从本期开始，我们将在公众号上分别对相关评估咨询服务予以介绍。

本期业务重点介绍的是： 数据安全能力成熟度(DSMM)评估咨询服务 。

GBT37988《信息安全技术 数据安全能力成熟度模型》（以下简称“DSMM标准”）是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施，是数据安全领域国内首个国家标准。

DSMM国家标准以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换和销毁等全生命周期，从组织建设、制度流程、技术工具和人员能力4个能力维度，按照1~5个等级的能力成熟度，评价组织的数据安全能力。

数据安全能力成熟度评估（以下简称“DSMM评估”）是依据国家标准《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）和标准配套文件《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估。

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

（1）4个关键能力：安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力。

（2）5个能力等级：能力成熟度等级（5级）共分为5级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

（3）7大安全过程：数据安全过程（6+1）具体包括：数据生存周期安全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程

第一步：评估申请差距分析

1、评估委托和贯标阶段：数据处理者填写《DSMM评估申请单》委托创信华通进行DSMM评估，签订《服务协议合同》；我司会安排专业人员针对数据处理者相关部门和人员进行全面的GBT37988的标准宣贯，使得数据处理者对标准有个全面的认识和了解，以助于后期的相关工作的开展。

2、DSMM等级目标确定：这个阶段是数据处理者根据自身的战略目标及相关具体情况，确定本次认证的等级目标。

第二步：现场评估和差距分析

1、现场评估阶段：通过人员访谈、文档查询以及技术检查等手段，对数据处理者的数据安全能力进行全面调研、检查和评估。

2、差距分析：根据确定的DSMM等级目标，结合数据处理者的自身情况，进行检测评估，进行差距分析，整理输出整改清单。

第三步：整改和能力建设

能力建设环节是根据前期的差距分析结果，来针对性地进行数据安全能力建设。在这个阶段，创信华通可以为数据处理者提供体系化的数据安全咨询、规划和自评估服务，以促进数据处理者的数据安全能力自查、整改和复查，使其数据安全能力满足相应等级的要求。

第四步：测评认证与发证

测量和评估环节是数据处理者委托有认证资质的认证机构来进行的测评和发证环节。创信华通做为评估和咨询机构可以协助数据处理者、配合认证机构来做相关测量和评估、协助数据处理者获得相关DSMM等级证书。

评估结果：DSMM标准重点关注企业业务数据，以衡量组织机构安全能力，全面展示企业数据安全能力项成熟度评估等级。

评估报告：帮助企业展示数据安全能力现状，识别数据安全能力相关问题，给出评估结论、详细评估结果和阶段性安全提升建议等，给出评估等级建议。

1. 促进组织了解并提升自身的数据安全水平，从数据全生命周期的角度出发，结合各类数据业务发展所体现的安全需求开展数据安全保障工作。

2. 保障数据在组织之间安全地交换与共享，充分发挥数据的价值，打造更安全的大数据应用环境。

3. 衡量组织的数据安全能力成熟度水平，帮助行业、企业和组织发现数据安全能力短板。

4. 获得数据安全能力成熟度DSMM证书，可以佐证组织的数据安全能力水平，进而提升组织的整体安全能力品牌。