DSMM認證，也稱為數(shù)據(jù)安全能力成熟度評估，也有地方稱為《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019，DSMM）認證。

     近年來，隨著信息技術(shù)和人類生產(chǎn)生活交匯融合，通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種數(shù)據(jù)迅猛增長。很多企業(yè)對于DSMM的需求還是很大的，但DSMM還是有很多專業(yè)性的問題，為了便于大家可以快速了解DSMM，速證就給大家將常見的問題做了匯總，一起來看看吧！

     DSMM 標準以數(shù)據(jù)為中心，重點圍繞數(shù)據(jù)生命周期，從組織建設、制度流程、技術(shù)工具和人員能力四個方面進行安全保障。

     DSMM 標準關注企業(yè)自身業(yè)務產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機構(gòu)的數(shù)據(jù)安全能力，促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

     本標準適用于組織機構(gòu)數(shù)據(jù)安全能力的自身評估，也適用于第三方機構(gòu)對組織機構(gòu)的數(shù)據(jù)安全保障能力進行評估。

     本標準借鑒能力成熟度模型（CMM）的思想，以CMM的通用實踐來衡量能力成熟度等級，以《要求》中的安全要求為基礎，定義數(shù)據(jù)安全過程域和基本實踐，指導組織機構(gòu)如何持續(xù)達到所對應的安全要求。

     DSMM將數(shù)據(jù)管理能力成熟度劃分為五個等級，自低向高依次為1級:非正式執(zhí)行、2級：計劃跟蹤、3級：充分定義、4級：量化控制、5級：持續(xù)優(yōu)化，不同等級代表企業(yè)數(shù)據(jù)安全管理和應用的成熟度水平不同。

     數(shù)據(jù)安全過程維度——數(shù)據(jù)生命周期全過程，包括數(shù)據(jù) 采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、 數(shù)據(jù)銷毀安全，以及通用安全過程。

     三維度相互交叉，形成具體的基本實踐（BP），全部的基 本實踐構(gòu)成DSMM的條款內(nèi)容；基于組織企業(yè)對各基本實踐的滿足程度，最終確定企業(yè)所達到的成熟度等級。

      等保標準以備案系統(tǒng)為主要評估對象，偏向傳統(tǒng)網(wǎng)絡系統(tǒng)安全，側(cè)重于物理安全、網(wǎng)絡安全、安全建設管理等方面的網(wǎng)絡系統(tǒng)安全保護。

      ISO27001標準是以組織為對象，偏向信息安全管理，側(cè)重于指導組織依據(jù)信息安全風險評估的結(jié)果選擇合適的控制措施，設計構(gòu)建信息安全管理體系。

      DSMM標準也是以組織為評估對象，聚焦數(shù)據(jù)全生命周期的防護，從四個安全能力維度提出分級要求，幫助組織打造與業(yè)務貼合緊密的數(shù)據(jù)安全架構(gòu)。

      DSMM的架構(gòu)由四個安全能力維度、七個安全過程維度、五個安全能力等級構(gòu)成。四個安全能力維度:組織建設、制度流程、技術(shù)工具、人員能力；

     七個安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計30個過程域；

     五個安全能力等級：從低到高依次1至5級。

     DSMM是針對企業(yè)數(shù)據(jù)安全管理和應用能力的評估框架，從標準本身講，任何企業(yè)都可以申請，目前主要適用于兩類。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險業(yè)、證券行業(yè)、保險業(yè)、電子商務平臺、數(shù)據(jù)中心、政務和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開發(fā)/運營商、信息系統(tǒng)建設和服務提供商、信息技術(shù)服務提供商等。

      資產(chǎn)保護：企業(yè)通過數(shù)據(jù)安全認證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及 管理措施，提高企業(yè)數(shù)據(jù)安全保護意識，保障企業(yè)數(shù)據(jù)資產(chǎn)安全。

      風險防控：數(shù)據(jù)安全能力體系的建設的不僅擁有應對數(shù)據(jù)風險的發(fā)生時的防護能力，更能從源頭對風險進行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

     合規(guī)要求:《數(shù)據(jù)安全法》《個人信息保護法》等相關 法律法規(guī)相繼出臺，對企業(yè)數(shù)據(jù)安全建設提出了要求，數(shù)據(jù)安全認證可幫助企業(yè)滿足相關法律法規(guī)要求，落實責任義務。

      政策扶持：隨著相關法律法規(guī)完善，各地區(qū)政府鼓勵當?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供 政策扶持。

      宣傳推廣：組織通過數(shù)據(jù)安全認證，結(jié)合數(shù)據(jù)安全體系建設的經(jīng)驗，可形成行業(yè)最佳實踐，擴大行業(yè)知名度，帶動行業(yè)發(fā)展。

      核心競爭力：通過數(shù)據(jù)安全認證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務提供方，提升自身核心競爭力，為企業(yè)客戶提供安全的數(shù)據(jù)服務。