数据安全能力成熟度认证

一、业务简介

在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大趋势下，数据呈现爆发增长，也带来了前所未有的风险与安全挑战，对数据的掌控能力日益成为衡量国家竞争力的关键因素，数据安全成为大国博弈的战场之一。GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》（以下简称DSMM）适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。。

数据安全能力成熟度认证是依据《信息安全技术 数据安全能力成熟度模型》标准（GB/T 37988-2019），以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评判组织的数据安全能力

数据安全能力成熟度模型（DSMM）的模型架构由以下三个维度构成（如图A.1所示）：

a)安全能力维度

安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具 和人员能力。

b) 能力成熟度等级维度

数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级：2级是计划跟踪级，3 级是充分定义级，4级是量化控制级，5级是持续优化级。

c)数据安全过程维

1)数据安全过程包括数据生存周期安全过程和通用安全过程；

2)数据生存周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段 

二、业务价值 

1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识。4、确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

三、业务流程

认证分两个阶段：

检验阶段：评估组对组织建设、制度流程、技术工具、人员能力检进行服务特性检验，根据检验结果，出具评估报告，给出建议的等级；

验证/确认阶段审查，审查员对评估报告、企业自评估表及其他必要的相关资料进行文件审查，文件审查完成后，到企业进行现场审查，来验证和确认服务能力，出具现场评价报告。最后对上述阶段所有资料进行评定，做出认证决定。