数据处理活动安全管理体系认证（DSMM）

一、业务背景

在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大趋势下，数据呈现爆发增长，也带来了前所未有的风险与安全挑战，对数据的掌控能力日益成为衡量国家竞争力的关键因素，数据安全成为大国博弈的战场之一。国家对数据安全给与了极大的关注，《中华人民共和国数据安全法》是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定的法律，自2021年9月1日起施行。GB/T 37988《信息安全技术 数据安全能力成熟度模型》（以下简称DSMM）适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

二、业务介绍

 GB/T 37988《信息安全技术 数据安全能力成熟度模型》以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评判组织的数据安全能力。

数据安全能力成熟度模型（DSMM）的模型架构由以下三个维度构成（如图1所示）：

a)安全能力维度

安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具 和人员能力。

b) 能力成熟度等级维度

数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级：2级是计划跟踪级，3 级是充分定义级，4级是量化控制级，5级是持续优化级。

c)数据安全过程维

1)数据安全过程包括数据生存周期安全过程和通用安全过程；

2)数据生存周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段，如图2所示。

图1 DSMM架构图

特定的数据所经历的生存周期由实际的业务所决定，可为完整的6个阶段或是其中的几个阶段。 PA （过程域Process Area）体系分为数据生存周期安全过程和通用安全过程两部分，共包含30个 PA。

图2 数据安全PA体系

赛西认证制定的《数据处理活动安全管理体系认证技术规范》将GB/T 37988标准30个 PA各等级数据安全能力转化为技术要求，并结合管理体系通用高阶架构的要求形成了标准的管理体系认证依据。根据企业的申请，为企业提供数据处理活动安全管理体系符合性认证。满足现行技术规范和标准要求的，为企业颁发相关证书。

三、实施该业务的价值 

 1、理清企业数据安全现状，发现企业和组织的数据安全能力短板。

 2、带来差异化竞争力：数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力，令其对组织的信心加强，有助于增加组织在同行业内的竞争优势，稳固市场地位。

3、减少可能的损失：数据安全能力的提升，能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。

 4、增强员工的意识和相关技能：提升组织数据安全管理人员的技能，增强全体员工的数据安全意识，确保已建立的数据安全保障体系有效运转和持续提升，从而整体上提升企业的数据安全水平。

 5、从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

四、业务流程

申请认证的组织应建立符合赛西认证《数据处理活动安全管理体系认证技术规范》（包含了ISO/IEC 38505-1标准要求）的管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上。

组织应向赛西认证提供管理体系运行的充分信息，包括对照GB/T 37988《信息安全技术 数据安全能力成熟度模型》相应等级标准建立数据管理组织，完善制度，内部运行并开展自评估的证据。对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核。

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论。

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。