根据国家政策的支持,DSMM认证也被更多的企业所熟知,但对于DSMM认证的评审申请流程和相关内容,企业还是知之甚少甚至不了解,下面就带大家了解一下DSMM认证的一些评审流程。
帝斯曼简介
DSMM是Data Security Capability MaturityModel的缩写,中文称为Data Security Capability Maturity Model。
《信息安全技术-数据安全能力成熟度模型》(GB T 37988-2019)是中华人民共和国于2020年3月1日实施的国家标准,隶属于国家信息安全标准化技术委员会。
信息安全技术 数据安全能力成熟度模型(GB T 37988-2019)提供了组织数据安全能力的成熟度模型架构,明确了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全等成熟度等级要求。 本标准适用于对组织数据安全能力的评估,也可以作为组织构建数据安全能力的依据。
评估过程
审查和评估应用程序申请人应提供数据安全能力成熟度评估申请表等必要附件,市场人员应收到申请表,并按照认证依据和程序的要求审核申请人提交的认证申请及相关材料,以确定:
1、提供所需基本信息(特别是自我评估信息的完整性);
2. 消除公司与申请人之间任何已知的理解差异;
3、公司有能力、有能力实施所申请的认证活动;
4、申请内容是否在评估范围内;
5、申请表填写的信息是否完整;
6. 申请人的经营场所、完成审核所需的预期时间以及影响认证活动的任何其他因素;
7、经批准后签订服务协议的,应当将申请不予受理的书面通知申请人。
合同签订对于通过审核的评估申请,将按照公司的合同签订流程签订服务协议。
DSMM的意义和价值
DSMM 标准在组织方法的不同阶段提供了一种分层的数据保护方法。 通过实施 DSMM 评估,您可以:
1、促进组织了解和提高自身数据安全水平,结合各类数据业务发展所体现的安全需求,从数据生命周期的角度开展数据安全保障工作;
2、保障组织间数据安全交换共享,充分发挥数据价值,打造更安全的大数据应用环境。
那么,DSMM认证对企业的价值是什么呢?
资产保护:企业可以通过数据安全认证建立健全数据安全体系,制定全面合理的数据安全体系流程和管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
风险防控:数据安全能力体系的建设不仅具有防范数据风险的能力,而且从源头上防控风险,降低数据安全事故发生概率。
合规要求:《数据安全法》、《个人信息保护法》等相关法律法规已经出台,对企业数据安全建设提出了要求,数据安全认证可以帮助企业满足相关法律法规的要求,履行其责任和义务。
政策支持:随着相关法律法规的完善,各地区**鼓励当地企业和组织建立数据安全合规体系,并提供政策支持。
宣传推广:通过数据安全认证,结合数据安全体系建设经验,组织可以形成行业最佳实践,扩大行业知名度,推动行业发展。
核心竞争力:通过数据安全认证的企业可以作为高度信任的数据所有者和数据服务商,提升其核心竞争力,为企业客户提供安全的数据服务。
帝斯曼
DSMM 架构由四个安全能力维度、七个安全流程维度和五个安全能力级别组成。
安全能力四个维度:组织建设、系统流程、技术工具、人员能力;
七大安全流程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共30个过程域;
五个安全级别:从低到高的 1 到 5。
第一次可以申请多少个级别
申请水平主要根据企业实际情况判断,对初次申请的水平没有严格的限制。
大多数组织都适合 DSMM2,DSMM3 适用于数据安全实践水平较高的组织,DSMM4 适用于在数据安全领域建设领先的组织,DSMM5 不开放应用。
公司需要参与哪些部门,他们准备了什么?
涉及的相关部门主要包括数据安全管理部、信息安全部、信息技术部、数据管理部、业务线部(业务主管、业务处理)、风险管理部、法务部、人力资源部、内控合规部、审计部等。
企业如何开展标准实施工作?
准备工作分为三个阶段:
1)差距分析:根据能力等级标准的相关要求,梳理企业数据管理系统、实施流程文件、数据管理平台和工具的相关信息,进行差距分析,制定建设和改进工作计划。
2)能力建设:完善数据管理组织,完善数据管理体系,优化数据管理平台和工具,开展对标自我评估。
3)量化评估:成立评估小组,提交正式评估申请,进行第三方评估,获取评估结果,完善整改意见。