什么是DSMM？

數據安全能力成熟度模型（Data Security Capability Maturity Mode,簡稱DSMM）是阿里巴巴和中國電子技術標準化研究院在大量實踐和研究的基礎上，聯合三十多家企事業單位共同研究制定的。國家標準委于2019年8月30日正式發布了《信息安全技術 數據安全能力成熟度模型》（GB/T 37988-2019）。該標準能夠用來衡量一個組織的數據安全能力成熟度水平，可以幫助行業、企業和組織發現數據安全能力短板，相關主管部門也可以用于數據安全管理，根據數據安全能力水平高低決定企業擁有數據的類型和范圍，最終提升全社會的數據安全水平和行業競爭力，確保大數據產業及數字經濟的發展。

為什么開展DSMM？

DSMM 標準可為組織在不同階段，開展數據保護建設，提供分級別的實踐指南。通過實施DSMM評估，可以：

• 1、促進組織機構了解并提升自身的數據安全水平，從數據生命周期的角度出發，結合各類數據業務發展所體現的安全需求開展數據安全保障工作；
• 2、保障數據在組織機構之間安全地交換與共享，充分發揮數據的價值，打造更安全的大數據應用環境。 

辦理DSMM認證的流程產品介紹

數據安全能力成熟度模型架構主要有三個方面：

1.五個等級包括：非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級，形成一個三維立體模型，全方面對數據安全進行能力建設。
2.四大安全能力維度包括：組織建設、制度流程、技術工具、人員能力；
3.七大數據安全過程維度包括：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全）；

基于大數據環境下數據在組織機構業務中的流轉情況，定義數據生命周期的6個階段，具體各階段的定義如下：

1.數據采集：指在組織機構內部系統中新生成數據，以及從外部收集數據的階段。
2.數據傳輸：指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。
3.數據存儲：指數據以任何數字格式進行物理存儲或云存儲的階段。
4.數據處理：指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。
5.數據交換：指數據由組織機構與外部組織機構及個人交互的階段。

6.數據銷毀：指通過對數據及數據的存儲介質通過相應的操作手段，使數據徹底消除且無法通過任何手段恢復的過程。

DSMM每個級別有什么區別

DSMM等級劃分與核心特點如下：
L1非正式執行：執行非正式過程，隨機、無序、被動執行安全過程，依賴個人經驗，無法復制。
L2計劃跟蹤：在業務系統級別主動實現了安全過程的計劃與執行，但沒有形成體系化，可驗證過程執行與計劃一致，跟蹤、控制執行的進展。
L3充分定義：在組織級別實現了安全過程的規范執行，標準過程進行制度化，過程可重復執行，執行結果可核查。
L4量化控制：建立了量化目標，安全過程可度量。
L5持續優化：根據組織的整體目標，不斷改進和優化組織能力和安全過程有效性。

初次申請DSMM可以申請幾級

申請什么級別主要依據企業的實際情況來判斷，沒有硬性規定初次申請級別的限制。大部分組織適合申請DSMM2級，DSMM3級適合具有較高數據安全實踐水平的組織申請，DSMM4級適合在數據安全領域建設水平領先的組織申請，DSMM5級暫不開放申請。

DSMM評價方法

DSMM的評價方法主要是評分制，先對每個過程域（PA）的四個能力維度（BP）進行打分，再通過計算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

哪些企業適合申請DSMM

DSMM標準的適用范圍非常廣泛，沒有行業的限制，對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM，包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。

申請DSMM，企業需要哪些部門和角色的參與

涉及到的相關部門主要有數據安全管理部門、信息安全部門、信息科技部門、數據管理部門、業務條線部門（業務主管、業務處理）、風險管理部門、法務部門、人力資源部門、內控合規部門、審計部門等。

證書