DSMM数据安全能力成熟度模型

一、简介

数据安全能力成熟度模型（Data Security Capability Maturity Mode，简称DSMM）是阿里巴巴和中国电子技术标准化研究院在大量实践和研究的基础上，联合三十多家企事业单位共同研究制定的。国家标准委于2019年8月30日正式发布了《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）。DSMM标准能够用来衡量一个组织的数据安全能力成熟度水平，可以帮助行业、企业和组织发现数据安全能力短板，相关主管部门也可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围，最终提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。

二、申报条件

1、具有独立企业法人地位，从事数据处理业务对应申请级别的年限要求；

2、社会信誉良好，有良好的知识产权保护意识，近三年无触犯国家法律法规的行为，无经营异常或严重违法失信行为，无不正当竞争行为；

3、满足《数据安全能力成熟度模型》相应级别要求；

4、有15-20人参与相关工作的人员；

5、提供2-3个已完成的数据处理项目及项目资料。

三、成熟度评估等级

L1非正式执行：执行非正式过程随机、无序、被动执行安全过程，依赖个人经验，无法复制。

L2计划跟踪：在业务系统级别主动实现了安全过程的计划与执行，但没有形成体系化，可验证过程执行与计划一致，跟踪、控制执行的进展。

L3充分定义：在组织级别实现了安全过程的规范执行，标准过程进行制度化，过程可重复执行，执行结果可核查。

L4量化控制：建立了量化目标，安全过程可度量。

L5持续优化：根据组织的整体目标，不断改进和优化组织能力和安全过程有效性。

以下为能力成熟度等级描述与通用实践

本标准的能力成熟度等级描述与通用实践给出了每一个级别的数据安全过程域和基本实践应达到的程度，通用实践给出了划分数据安全过程域和基本实践等级的原则和方法论.

能力成熟度等级1—非正式执行

在这一等级上，组织机构的数据安全过程域可被标识，相关基本实践通常在需要时被执行，但主要基于个人的的知识水平和经验判定，未经过严格的计划和跟踪。

    在这一等级里，只是保证过程域的基本实践以某种方式执行，仅在部分业务场景中中根据临时的需求执行了相关基本实践，未形成成熟稳定的机制保证实践的持续有效进行，数据安全保障的一致性、有效性及质量可能波动很大，所执行的过程称为“非正式过程”。

1.1 组织建设

仅在部分业务场景中根据临时的需求建立数据安全的岗位和人员，未形成成熟和稳定的专职/兼职的数据安全的岗位和人员。数据安全的组织建设未经严格的计划和跟踪。

1.2 制度流程

仅在部分业务场景中根据临时的需求建立数据安全的制度流程，未形成成熟和稳定的数据安全制度流程，多为对特定业务需求的响应而触发。数据安全的制度流程未经严格的计划和跟踪。

1.3 技术工具

仅在部分业务场景中根据临时的需求部署数据安全的技术工具，未形成成熟和稳定的技术工具来支撑数据安全工作，执行效果未经规范化的测量或验证。

1.4 人员能力

从事数据安全工作的人员具备数据安全意识,但仅能支撑部分业务场景工作，人员能力未得到有效的保障。

能力成熟度等级2—计划跟踪

在这一等级上，组织机构的数据安全过程域管理满足标准规范的规定，相关基本实践的执行是有计划和有跟踪的，并可对实践情况进行过程验证，与等级1“非正式执行”的主要区别是基本实践执行过程被规范地计划和管理。

在这一等级上，过程域和基本实践的执行按照如下的共性特征来执行：

（1）规划执行：对过程域和基本实践的执行进行规划，涉及到过程文档的编制、过程工具的提供、过程实践的计划、规划执行的培训、过程资源的分配以及过程执行的责任指派，为规范化的过程执行提供了最根本的基础；

（2）规范化执行：对过程域和基本实践的执行进行规范化管理，需要使用过程执行计划、执行基于标准和程序的过程、对数据安全过程实施配置管理等；

（3）验证执行：注重验证过程是否按预定计划执行，涉及执行过程与计划的一致性验证；

（4）跟踪执行：通过可测量的计划跟踪过程域和基本实践的执行，当与计划产生重大偏离时采取修正行动，包括：执行计划、组织架构、制度流程、技术工具及人员能力等的变更和调整。

2.1 组织建设

基于数据安全过程域的内容，应规划并设立规范化的数据安全岗位，该岗位人员负责制定和落实组织机构内部的数据安全规范。

同时，对组织机构的岗位设置进行验证，并对组织建设定期进行跟踪，通过测量来检查跟踪数据安全组织建设工作执行的状态，并建立对业务系统级别的组织建设测量的历史记录。

2.2 制度流程

建立以数据为中心的数据安全制度流程，将数据安全制度流程形成标准化文档，并按照规划方式执行，并使用文档化的计划、标准指导执行过程。

同时，将数据安全制度流程实施配置管理，进行版本控制和/或变更控制，并对制度流程进行验证，定期检查跟踪制度流程执行的状态，并建立对制度流程的测量历史记录。

2.3 技术工具

为执行数据安全过程域基本实践提供合适的技术工具，并基于版本控制和配置管理确保数据安全过程的自动化执行。

同时，应对技术工具进行验证，定期进行跟踪，检查技术工具的状态，并建立对技术工具的测量历史记录。

2.1.4 人员能力

对数据安全人员规划适当的培训，使其具备数据安全风险管理知识，以及规范化执行数据安全过程的能力。

并制定人员能力的验证计划，对人员能力定期进行跟踪和检查。

能力成熟度等级3 —充分定义

在这一等级上，组织机构根据已批准的过程、标准的剪裁版本和文档化过程执行基本实践，称为充分定义的过程。与等级2“计划跟踪”的主要区别在于，使用组织级的标准过程来策划和管理数据安全。

在这一等级上，过程域和基本实践的执行按照如下的共性特征来执行：

（1）定义标准过程：定义标准化过程和过程文档，为满足特定用途对标准过程进行裁剪。

（2）执行已定义的过程：已定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，对缺陷过程进行规避。

（3）协调安全实践：对不同业务系统和组织活动间的数据安全过程建立协调机制，包括业务系统内、组织机构的各业务系统之间、组织机构外部的协调机制。

3.1 组织建设

组织机构设立了明确的实体或虚拟的岗位和人员，实现对数据安全人员的角色及其职责分配，并建立有效的工作考核机制。

数据安全人员主要负责针对该数据安全域建立有效的安全保护机制，包括但不限于建立组织机构统一的安全管理策略、制度和流程，并制定并面向组织机构范围内提供整体的技术标准解决方案。

该岗位的数据安全人员与数据安全过程域相关的部门（如业务部门、法律部门等），以及与组织机构外部共同合作，建立有效的沟通和推进机制，保证数据安全组织建设相关标准的统一执行。

3.2 制度流程

参考相关的安全管理体系的方法论，建立了适应于组织机构自身在数据安全过程域的标准制度流程。包括但不限于：与组织机构结构和数据业务相一致的安全策略、具有明确管控要求的制度规范、用于相关管控要求落地的流程、指导整体工作执行的实施指南等。

同时，组织机构针对该数据安全过程域的制度流程建立标准的培训和宣传方案，保证与该数据安全过程域相关的人员在对制度流程的理解上的一致性，并针对制度流程进行专门的缺陷复查和规避。

数据安全的制度流程能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部之间以统一的标准来进行数据安全保障。

3.3 技术工具

建立数据安全过程域相关的在线化技术工具，固化并记录相关的流程。在组织机构内部建设、部署数据安全技术产品,强化安全控制，并基于具体的业务场景实现了对数据安全技术产品的有效运营，以保证产品功能对组织机构的业务场景的适应性。

数据安全的技术工具应能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部之间以统一的标准来实现数据安全保障。

3.4 人员能力

数据安全人员应具备数据安全资质和工程实践经验，充分理解组织机构在该数据安全过程域中面临的安全风险，具备风险控制和改进方案的能力，能够有效执行已定义的数据安全过程，并通过考核、复查和培训等方式，对能力上的不足进行补齐。

    数据安全人员能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部之间以统一的标准来实现数据安全保障。

能力成熟度等级4 —量化控制

在这一等级上，组织机构通过对基本实践执行情况的收集、分析和测量，获得过程执行能力和预测能力的量化表示。这个等级的数据安全管理和质量控制过程是客观，与等级3“充分定义”的主要区别在于执行过程的量化表示和控制。

在这一等级上，过程域和基本实践的执行按照如下的共性特征来执行：

   （1）建立可测的安全目标：建立可测量目标，为客观地执行管理提供了必要的基础；

   （2）客观地管理执行：使用量化的方式来客观的管理和评价数据安全过程域。

4.1 组织建设

组织机构应明确定量的数据安全保障要求，将安全目标分解落实到数据安全相关的岗位职责中，以利于安全目标的量化可测量、可执行。

4.2 制度流程

在制度流程中制定收集和测量数据的方法，对各项数据安全工作的执行情况及其效果进行客观的度量。

当制度流程未按定义执行时，识别出现偏差的原因，并制定出适当的纠正、预防措施，提出何时和采取何种修正行动，从而反馈到相关制度流程的内容修订上。

4.3 技术工具

根据定量的安全目标，对技术工具提出相应的功能和性能需求。在已有的技术工具的基础上实现对关键数据安全能力的量化控制。

技术工具应支持在数据的各生命周期过程中自动化采集数据和度量，并对度量结果进行展示。当技术工具未按定义执行时，识别出现偏差的原因，从安全要求、工具执行的有效性方面进行持续的跟踪和效果度量，从而反馈到相关技术工具的完善和更新上。

4.4 人员能力

对数据安全人员能力建立量化的衡量指标，定期进行考核、培训等。

关键岗位的数据安全人员应具备客观地量化执行数据安全工作的意识，具备能采用相关方法和工具开展数据安全工作的能力。

能力成熟度等级5 —持续优化

在这个等级上，组织机构的数据安全管理过程域是可持续优化的，在业务目标的基础上制定量化的有效性和效率指标，通过执行已定义过程、组织定期评估、运用新思想与技术等进行持续性的改进，以更好适应业务发展。这一级与等级4“量化控制”的主要区别在于对已定义和标准过程变化效果进行量化表示，并进行连续调整和改进。

在这一等级上，过程域和基本实践的执行按照如下的共性特征来执行：

（1）改进组织能力：关注标准过程在整个组织机构范围内的使用情况，分析和标识产生的缺陷的原因，寻求对组织架构的变更和能力提升，以更好地适应业务目标和规划；

（2）改进过程有效性：对标准过程的持续监控和有效性评价，提出消除产生缺陷的因素，和提出持续改进的标准过程。

5.1 组织建设

能够分析和消除组织架构的设置上的不足，通过分析与国内外领先的数据安全管理理念的差距，提出对组织架构的可能改进目标，并持续改进组织架构的设置，进行及时调整以促进业务发展。

5.2 制度流程

持续跟踪数据安全管理领域的最佳实践和业务的最新动向，预先判断业务在数据安全领域所面临的风险，并在制度流程上进行持续性的优化，从而提高过程有效性。

对制度流程进行持续监控，并对制度流程的执行效果进行有效性评价，分析并消除制度流程上的缺陷，并提出持续改进的制度流程。

5.3 技术工具

能够分析技术工具执行效果上的不足，建立改进目标，标识出对技术工具的改进点，分析对技术工具的可能变更。

基于数据安全技术的最新进展以及组织机构沉淀下来的数据安全技术能力，结合业务发展的实际情况引入先进的技术工具提升数据安全控制的有效性。

5.4 人员能力

能够分析人员能力上的不足，标识出对人员能力的改进点，建立改进目标，开展人员培训等。密切关注国内外最新的数据安全标准及规范，加强行业领域内的专家交流，结合本组织机构的特点合理优化并组织机构内的数据安全解决方案。

（备注：以上内容仅供参考，如未详尽或有更新，均以具体官方发布为准。）