DSMM技术数据安全能力成熟度模型（GB/T37988-2019）

DSMM——数据安全能力成熟度模型（简称DSMM）是阿里巴巴和中国电子标准化研究院在大量实践和研究的基础上，30多家企事业单位共同研究的结果。 2019年8月30日，国家标准委正式发布《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）。

该标准可用于衡量组织数据安全能力的成熟度。它可以帮助行业、企业和组织发现数据安全能力的短板。相关主管部门也可用于数据安全管理。确定企业拥有的数据类型和范围，最终提升全社会的数据安全水平和行业竞争力，保障大数据产业和数字经济的发展。

一、DSMM 架构

1、成熟度模型架构

DSMM 架构如图 1 所示。

图 1 DSMM 架构

DSMM 的架构由以下三个维度组成：

(1）安全能力维度

安全能力维度定义了组织在数据安全领域应具备的能力核安全等级划分，包括组织建设、制度流程、技术工具、人员能力等。

(2）能力成熟度等级维度

组织的数据安全能力成熟度等级分为五个等级，包括：1级（非正式执行级）、2级（计划和跟踪级）、3级（全定义级）、4级（量化控制级） )，5级（持续优化级别），如下表所示：

表1数据安全能力成熟度等级的共同特征

数据安全能力成熟度等级

共同特点

说明

第 1 级：非正式执行

BP的执行：组织在数据安全的过程中无法有效地进行相关工作，仅在部分业务执行过程中根据临时需要进行相关工作。没有成熟的机制保证相关工作的持续有效推进。工作人员没有达到相应的能力。执行的过程称为“非正式过程”

安全程序的随机、无序、被动执行，依赖于个人经验，无法复制

第 2 级：计划跟踪

1.计划执行：计划安全流程，提前分配资源和职责。 2.规范执行：控制安全流程，使用执行计划，根据标准和程序执行流程。实施数据安全流程的配置管理。 3.验证执行：验证流程是否按照预定的方式执行，验证流程的执行是否与计划一致。 4.Track Execution：控制数据安全流程执行的进度，通过可衡量的计划跟踪流程执行，并在流程实践明显偏离计划时采取纠正措施

在此任务的系统级别主动实施安全流程的规划和执行。但没有系统化

第 3 级：完全定义

1.定义标准流程：组织将标准流程制度化，为组织定义标准化流程文档，并定制标准流程以满足特定用途。 2.执行已定义的流程：定义良好的流程是可重复的，流程执行的结果数据用于检查有缺陷的流程结果和安全实践。 3.安全实践的协调：确定业务系统内、业务系统之间和组织外部活动的协调机制

安全流程的具体实施在组织层面实现

级别 4：量化控制

1.建立可衡量的安全目标：为组织的数据安全建立可衡量的目标。 2.客观地管理执行：识别过程能力的量化措施，使用量化措施管理安全流程，并使用量化措施作为纠正措施的基础

建立定量基准，安全过程可衡量

第 5 级：持续优化

1.提高组织能力：比较整个组织的程序使用情况，找出改进程序的机会，并进行改进。 2.提高过程有效性：制定处于持续改进状态的程序，消除程序中的缺陷，持续改进程序

根据组织的总体目标不断改进和优化安全流程

(3）数据安全流程维度

数据安全流程包括数据生命周期安全流程和一般安全流程；数据生命周期安全流程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

二、能力成熟度等级评估流程

数据安全能力成熟度等级评估从组织建设、制度流程、技术工具和人员能力四个关键能力进行。通过评估每个安全流程所需的安全能力核安全等级划分，可以评估组织在每个安全流程中实现的能力水平。

能力成熟度等级的详细评估流程如下：

关于引擎

上海清标信息技术服务有限公司（）是一家致力于提供技术风险与合规内控领域解决方案的咨询服务机构。公司主要从事ITSS、ISO27001、CMMI、ISO27701、DCMM、ISO22301、CS、ISO20000、CCRC等领域的管理规划、体系建设、工具、涉密资质等支持和咨询评估服务。