分享好友 供应首页 频道列表
1/5
北京DSMM认证是什么?目前有哪些DSMM认证补贴政策图1

北京DSMM认证是什么?目前有哪些DSMM认证补贴政策

2023-07-06 18:54110询价
价格:未填
发送询价
0igjcl

随着我国经济与科技水平的进步,数据已成为驱动各行各业创新发展的重要资源之一。在国家大力推广数据战略的形势下,数据安全相关法律相继出台。其中,我国数据安全领域的首部专门律法——《数据安全法》中提到:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。

· 信息安全认证有哪些 ·

信息安全相关认证业务主要包含信息安全、数据安全、个人信息安全、云计算安全、工控安全5大方面。




DSMM


01
DSMM是什么?

《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019) (以下简称“DSMM”)是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。

02
为什么需要管理数据安全

随着信息技术的发展,人类社会已经进入数字时代,数据的指数级增长已经成为常态。数据具有极大的价值变现特点,世界各国都强烈意识到数据的重要性。然而,数据的价值变现、有效利用的前提是数据是安全的,所以,数据安全的保护能力,是数据有效利用的基础。

数据安全与网络安全密切相关,是国家主权、国家安全的重要组成部分。习近平总书记指出,数据作为新型生产要素,对传统生产方式变革具有重大影响。

2020年4月9日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,数据首次被作为要素写入《意见》,要求推进政府数据开放共享,提升社会数据资源价值,同时也要加强数据资源整合和安全保护,探索建立统一规范的数据管理制度。我国从国家层面,制定了相关法律法规,明确要求要合规、合法、有效的做好数据安全的保护。

2021年9月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行,此项立法进一步确保了数据处于有效保护和合法利用的状态,以更好保护个人和组织的合法权益,维护国家主权、安全和发展利益。基于此,需要采取技术与管理双管齐下的方法,提出系统化的应对措施和解决方案,并制定相关标准和实施办法。


03
国家制定了哪些相关法律法规?

法律:

《网络安全法》

《数据安全法》

《个人信息保护法》

国标:

《GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型》

《GB∕T 35273-2020 信息安全技术 个人信息安全规范》

《GB∕T 41479-2022 信息安全技术 网络数据处理安全要求》

《GB∕T 35274-2017 信息安全技术 大数据服务安全能力要求》

《GB∕T 37973-2019 信息安全技术 大数据安全管理指南》

行标:

《JR∕T 0223-2021 金融数据安全 数据生命周期安 全规范》

《JR∕T 0171-2020 个人金融信息保护技术规范》

《JR∕T 0185-2020 商业银行应用程序接口安全管理规范》

《JR∕T 0071-2020 金融行业网络安全等级保护实施指引》

04
DSMM与ISO27001及DCMM的区别

1、ISO27001是信息安全管理体系。ISO27001标准是以组织为对象,偏向信息安全管理,侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施,设计构建信息安全管理体系。

2、DSMM是Data Security capability MaturityModel的缩写,中文名为数据安全能力成熟度模型。是以2019-08-30 发布,2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。DSMM标准也是以组织为评估对象,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构。

3、DCMM即《数据管理能力成熟度评估模型》,是我国在数据管理领域首个正式发布的国家标准。DCMM标准以组织为评估对象,DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项,并以组织、制度、流程和技术作为八个核心域评价维度。帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。

05
实施DSMM的意义和价值

 1、理清企业数据安全现状,发现企业和组织的数据安全能力短板。

2、带来差异化竞争力:数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力,令其对组织的信心加强,有助于增加组织在同行业内的竞争优势,稳固市场地位。

3、减少可能的损失:数据安全能力的提升,能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能:提升组织数据安全管理人员的技能,增强全体员工的数据安全意识。

4、确保已建立的数据安全保障体系有效运转和持续提升,从而整体上提升企业的数据安全水平。

5、从数据的安全保护、合规使用到数据的开发利用,数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施,能为数据生产要素价值的实现打好基础。

06
DSMM的架构和维度

DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

DSMM的架构由以下三个维度构成:
  1. (1)安全能力维度
安全能力维度明确了组织在数据安全领域应具备的能力.包括组织建设、制度流程、技术工具和人员能力。
  1. (2)能力成熟度等级维度
组织的数据安全能力成熟度等级划分为五级,具体包括:1级(非正式执行级),2级(计划跟踪级),3 级(充分定义级),4级(量化控制级),5级(持续优化级),具体如下图:
  1. (3)数据安全过程维度
  2. 数据安全过程包括数据生存周期安全过程和通用安全过程;
  3. 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。


07
DSMM认证每个级别有什么区别?

1级(非正式执行)主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人,经验无法复制。组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。

 

2级(计划跟踪)主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。规划执行,对数据安全过程进行规划,提前分配资源和责任;规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。

 

3级(充分定义)主要特点:在组织级别实现了安全过程的规范定义和执行。定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。

 

4级(量化控制)主要特点:建立了量化目标,安全过程可量化度量和预测。建立可测的目标,为组织数据安全建立可测量的目标;客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。

 

5级(持续优化)主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。


08
初次申请DSMM可以申请什么级别?
申请什么认证的级别主要依据企业的实际情况来判断,没有强制硬性规定初次申请级别的限制。

大部分组织都适合申请DSMM2级认证

DSMM3级适合具有较高数据安全实践水平的组织申请

DSMM4级适合在数据安全领域建设水平领先的组织申请

最高级DSMM5级目前暂不开放申请。


反对 0
举报 0
收藏 0
评论 0
联系方式