《“十四五”数字经济发展规划》中提出在2025年初步建立数据要素市场体系;今年3月,中央组建国家数据局,统筹数据资源整合共享和开发利用。在数据资源中,公共数据具有较强的权威性、通用性与公益性,其掌控权属政府部门所有,同时在《数据二十条》中明确要推进公共数据的探索机制,即公共数据授权运营。因此,公共数据授权运营成为数据要素市场体系发展的关键抓手之一。
2023年9月8日杭州市人民政府办公厅发布《杭州市公共数据授权运营实施方案(试行)》,2023年10月10日德清县大数据发展管理局发布《关于征集第一批德清县公共数据授权运营应用场景和运营主体的公告》,文件中均提出“制定完善公共数据安全制度,建立健全高效的技术防护和运行管理体系”、“具备成熟的数据安全保障能力”等数据安全要求。这说明公共数据授权运营过程中,既要促进数据要素的流通,又要保障国家、公共利益、个人隐私、商业秘密等安全。
DSMM是Data Security capability MaturityModel(数据安全能力成熟度模型)的缩写,是国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》的简称,也是我国首个数据安全领域的标准,自2020年3月实施以来,受到业界的广泛认可。DSMM可作为公共数据运营主体开展数据安全能力建设时的依据,同时DSMM证书可作为公共数据运营主体具备数据安全保证能力的证明。
一、数据安全能力成熟度(DSMM)认证简介
(一)什么是DSMM认证
DSMM认证是我国首个关于数据安全的认证,可以用来衡量一个组织的数据安全能力成熟度水平,帮助企业、组织和行业建立自身的数据安全保障能力,防范数据安全风险,提升数据安全管理水平和意识。
(二)DSMM认证内容
DSMM认证内容由安全能力维度、能力成熟度等级维度和能力安全过程维度组成。其中,安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力;数据安全能力成熟度等级由低到高依次为1~5级;能力安全过程维度包括数据全生命周期安全过程和通用安全过程。
DSMM能力安全过程维度涵盖30个过程域,数据全生命周期包含数据分类分级、数据加密传输、数据脱敏等19个安全过程域,重在通过对数据流转过程的规范和约束,降低数据泄漏风险;通用安全包括数据安全策略规划、组织和人员管理、安全事件应急等11个过程域,主要负责企业组织数据安全的指导和保障工作。
DSMM每个过程域都在组织建设、制度流程、技术工具和人员能力四个安全能力维度提出多个基本实践要求,DSMM 3级相比2级的基本实践数量高出近三倍。企业组织达到此级别时,已具备成熟的数据安全保障能力。
(三)DSMM认证对象
公共数据授权运营主体
(四)DSMM认证流程
以企业组织申请DSMM 3级为例,各阶段内容主要为:
(1)评估准备阶段:公共数据授权运营主体组织学习DSMM标准,对照3级能力相关要求,梳理本单位相关制度、数据安全工具等,形成自评估资料集后,向评估机构提出3级认证申请。
(2)评估策划阶段:评估机构受理申请后,建立评估团队,制定评估计划并同步企业,有针对性的对公共数据授权运营主体进行贯标培训。
(3)现场评估阶段:评估团队与申请组织开首次会议,确定评估流程、内容以及双方人员后,评估团队按计划对申请组织展开现状调研,出具评估发现报告,同步申请组织进行整改。
(4)复审确认阶段:申请组织整改完成后,评估团队进行复审;评估团队复审后出具评估报告(包含DSMM建议级别),同步申请组织确认;结果认可后,评估团队将评估材料交付认证监督团队。
(5)认证监督阶段:认证团队对申请书、评估资料进行初步审核后,进行现场资料审核过程,出具认证决定;认证团队审核通过后发放DSMM证书。
二、数据安全能力成熟度(DSMM)认证价值
一是协助企业构建公共数据安全保障能力
公共数据具有体量大、来源广、类型复杂等特点,其级别、类别、颗粒度、处理标准在不同单位、部门及使用维度中并不统一。其开放、共享、流转、交换等运营过程对运营机构的数据保护能力提出了极高的要求,因此依据DSMM 3级要求,企业组织通过梳理数据的流转路径,分析公共数据在生命周期中的薄弱环节,在制度、技术、组织、人员等方面全面提升,构建企业组织公共数据保障能力。
二是为企业公共数据安全保障能力提供证明
企业组织进驻公共数据市场不仅要具备公共数据安全保障能力,还应为授权运营提供能力证明,企业组织应通过DSMM认证机构获取认证证书,为公共数据安全保障能力提供证明。
DSMM证书可通过国家市场监督管理总局全国认证认可信息公共服务平台(http://cx.cnca.cn)查询证书详情。
北京赛迪认证中心有限公司是在国家认监委备案的DSMM权威认证机构,DSMM评估团队具有数据安全领域丰富的服务经验,帮助企业组织梳理自身的数据安全能力现状,识别数据安全潜在风险,通过组织、制度、人员和技术工具的落地,提升企业组织数据安全能力建设水平,达到数据资源价值最大化。
业务洽谈:
赵老师13717925491(同微信)
万老师17611631108(同微信)
