根據國家政策的支援,DSMM認證也被更多的企業所熟知,但對於DSMM認證的評審申請流程和相關內容,企業還是知之甚少甚至不了解,下面就帶大家了解一下DSMM認證的一些評審流程。
帝斯曼簡介
DSMM是Data Security Capability MaturityModel的縮寫,中文稱為Data Security Capability Maturity Model。
《資訊保安技術-資料安全能力成熟度模型》(GB T 37988-2019)是中華人民共和國於2020年3月1日實施的國家標準,隸屬於國家資訊保安標準化技術委員會。
資訊保安技術 資料安全能力成熟度模型(GB T 37988-2019)提供了組織資料安全能力的成熟度模型架構,明確了資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷毀安全、通用安全等成熟度等級要求。 本標準適用於對組織資料安全能力的評估,也可以作為組織構建資料安全能力的依據。
評估過程
審查和評估應用程式申請人應提供資料安全能力成熟度評估申請表等必要附件,市場人員應收到申請表,並按照認證依據和程式的要求審核申請人提交的認證申請及相關材料,以確定:
1、提供所需基本資訊(特別是自我評估資訊的完整性);
2. 消除公司與申請人之間任何已知的理解差異;
3、公司有能力、有能力實施所申請的認證活動;
4、申請內容是否在評估範圍內;
5、申請表填寫的資訊是否完整;
6. 申請人的經營場所、完成審核所需的預期時間以及影響認證活動的任何其他因素;
7、經批准後簽訂服務協議的,應當將申請不予受理的書面通知申請人。
合同簽訂對於通過審核的評估申請,將按照公司的合同簽訂流程簽訂服務協議。
DSMM的意義和價值
DSMM 標準在組織方法的不同階段提供了一種分層的資料保護方法。 通過實施 DSMM 評估,您可以:
1、促進組織了解和提高自身資料安全水平,結合各類資料業務發展所體現的安全需求,從資料生命週期的角度開展資料安全保障工作;
2、保障組織間資料安全交換共享,充分發揮資料價值,打造更安全的大資料應用環境。
那麼,DSMM認證對企業的價值是什麼呢?
資產保護:企業可以通過資料安全認證建立健全資料安全體系,制定全面合理的資料安全體系流程和管理措施,提高企業資料安全保護意識,保障企業資料資產安全。
風險防控:資料安全能力體系的建設不僅具有防範資料風險的能力,而且從源頭上防控風險,降低資料安全事故發生概率。
合規要求:《資料安全法》、《個人資訊保護法》等相關法律法規已經出台,對企業資料安全建設提出了要求,資料安全認證可以幫助企業滿足相關法律法規的要求,履行其責任和義務。
政策支援:隨著相關法律法規的完善,各地區**鼓勵當地企業和組織建立資料安全合規體系,並提供政策支援。
宣傳推廣:通過資料安全認證,結合資料安全體系建設經驗,組織可以形成行業最佳實踐,擴大行業知名度,推動行業發展。
核心競爭力:通過資料安全認證的企業可以作為高度信任的資料所有者和資料服務商,提公升其核心競爭力,為企業客戶提供安全的資料服務。
帝斯曼
DSMM 架構由四個安全能力維度、七個安全流程維度和五個安全能力級別組成。
安全能力四個維度:組織建設、系統流程、技術工具、人員能力;
七大安全流程維度:資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷毀安全、通用安全,共30個過程域;
五個安全級別:從低到高的 1 到 5。
第一次可以申請多少個級別
申請水平主要根據企業實際情況判斷,對初次申請的水平沒有嚴格的限制。
大多數組織都適合 DSMM2,DSMM3 適用於資料安全實踐水平較高的組織,DSMM4 適用於在資料安全領域建設領先的組織,DSMM5 不開放應用。
公司需要參與哪些部門,他們準備了什麼?
涉及的相關部門主要包括資料安全管理部、資訊保安部、資訊科技部、資料管理部、業務線部(業務主管、業務處理)、風險管理部、法務部、人力資源部、內控合規部、審計部等。
企業如何開展標準實施工作?
準備工作分為三個階段:
1)差距分析:根據能力等級標準的相關要求,梳理企業資料管理系統、實施流程檔案、資料管理平台和工具的相關資訊,進行差距分析,制定建設和改進工作計畫。
2)能力建設:完善資料管理組織,完善資料管理體系,優化資料管理平台和工具,開展對標自我評估。
3)量化評估:成立評估小組,提交正式評估申請,進行第三方評估,獲取評估結果,完善整改意見。