在全球信息化進(jìn)入全面滲透、跨界融合、加速創(chuàng)新、引領(lǐng)發(fā)展的大趨勢(shì)下,數(shù)據(jù)呈現(xiàn)爆發(fā)增長,也帶來了前所未有的風(fēng)險(xiǎn)與安全挑戰(zhàn),對(duì)數(shù)據(jù)的掌控能力日益成為衡量國家競(jìng)爭(zhēng)力的關(guān)鍵因素,數(shù)據(jù)安全成為大國博弈的戰(zhàn)場(chǎng)之一。國家對(duì)數(shù)據(jù)安全給與了極大的關(guān)注,截至目前已發(fā)布了多項(xiàng)國家標(biāo)準(zhǔn),其中2020年3月1日正式實(shí)施的《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱DSMM)為已發(fā)布的唯一監(jiān)測(cè)評(píng)估類標(biāo)準(zhǔn)。
《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱DSMM)于2019年8月30日發(fā)布,2020年3月1日正式實(shí)施。該標(biāo)準(zhǔn)由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測(cè)評(píng)中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)、學(xué)術(shù)單位、企業(yè)多方,經(jīng)標(biāo)準(zhǔn)預(yù)研、標(biāo)準(zhǔn)編制、試點(diǎn)應(yīng)用、提升完善,最終成為國家標(biāo)準(zhǔn),由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口,國家市場(chǎng)監(jiān)督管理總局與中國國家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布。
DSMM國家標(biāo)準(zhǔn)以組織的數(shù)據(jù)為中心,圍繞數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期,從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)能力維度,按照1-5級(jí)成熟度,評(píng)判組織的數(shù)據(jù)安全能力。
申請(qǐng)方須滿足以下基本條件:
1)應(yīng)是一個(gè)獨(dú)立的實(shí)體,具有獨(dú)立法人資格;
2)應(yīng)遵守國家現(xiàn)行法律、法規(guī)的規(guī)定;
3)從事行業(yè)有資質(zhì)、資格要求的,應(yīng)具備相關(guān)法定資質(zhì)、資格;
4)具有數(shù)據(jù)安全專業(yè)技術(shù)人員;
5)按照《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB∕T 37988-2019)標(biāo)準(zhǔn)的要求進(jìn)行數(shù)據(jù)安全管理;
6)在申請(qǐng)相應(yīng)等級(jí)的認(rèn)證審查前,已按照《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB∕T 37988-2019)對(duì)應(yīng)等級(jí)的要求建立了數(shù)據(jù)安全管理體系,并進(jìn)行了至少一次內(nèi)部審核;
7)認(rèn)證委托人及其相關(guān)方在五年內(nèi)未因以下情況被撤銷DSMM認(rèn)證證書:
a)提供虛假信息;
b)超范圍使用DSMM認(rèn)證標(biāo)志;
c)出現(xiàn)數(shù)據(jù)安全重大事故;
8)認(rèn)證委托人及其相關(guān)方一年內(nèi)未被認(rèn)證機(jī)構(gòu)撤銷DSMM認(rèn)證證書。
1、理清企業(yè)數(shù)據(jù)安全現(xiàn)狀,發(fā)現(xiàn)企業(yè)和組織的數(shù)據(jù)安全能力短板。
2、帶來差異化競(jìng)爭(zhēng)力:數(shù)據(jù)安全能力成熟度的認(rèn)證能向企業(yè)的客戶及合作伙伴表明組織保障數(shù)據(jù)安全的能力,令其對(duì)組織的信心加強(qiáng),有助于增加組織在同行業(yè)內(nèi)的競(jìng)爭(zhēng)優(yōu)勢(shì),穩(wěn)固市場(chǎng)地位。
3、減少可能的損失:數(shù)據(jù)安全能力的提升,能在一定程度上降低數(shù)據(jù)安全事件給組織帶來的不良聲譽(yù)影響和可能的經(jīng)濟(jì)損失。
4、增強(qiáng)員工的意識(shí)和相關(guān)技能:提升組織數(shù)據(jù)安全管理人員的技能,增強(qiáng)全體員工的數(shù)據(jù)安全意識(shí),確保已建立的數(shù)據(jù)安全保障體系有效運(yùn)轉(zhuǎn)和持續(xù)提升,從而整體上提升企業(yè)的數(shù)據(jù)安全水平。
5、從數(shù)據(jù)的安全保護(hù)、合規(guī)使用到數(shù)據(jù)的開發(fā)利用,數(shù)據(jù)安全能力成熟度的認(rèn)證和持續(xù)監(jiān)督審核是組織數(shù)據(jù)安全的體檢措施,能為數(shù)據(jù)生產(chǎn)要素價(jià)值的實(shí)現(xiàn)打好基礎(chǔ)。