DSMM数据安全能力成熟度企业到底要不要做？

近几年，数据安全因全球数字化转型步伐的加快变得越来越重要，及时地进行数据安全技术建设，促进企业尽早发现数据安全能力短板，有效的保证数据安全技术建设的落地实施，进而挖掘数据价值，推动企业数字化转型。

目前在数据安全领域推广最为广泛的标准理论是《GT/B 37988-2019信息安全技术 数据安全能力成熟度模型》（简称DSMM）。DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，从六个阶段、四个安全能力维度对数据安全能力建设进行综合考量。

该标准能够用来衡量一个组织的数据安全能力成熟度水平，相关主管部门也可以用于数据安全管理，最终提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。数据安全能力成熟度模型（简称DSMM）发布于2019年，早于《数据安全法》的颁布，但DSMM中有关数据生命周期的概念和相关要求与《数据安全法》有对应关系。通过DSMM模型建立数据安全管理体系，企业可以找到提升数据安全能力，增强企业数据安全意识，保证《数据安全法》等合规要求在企业内部落地实施的有效途径。

数据安全技术建设可以分为三层:

其中，基础安全技术层包括密码技术、访问控制、可信计算等共性安全技术，是网络安全与数据安全技术体系构建的基础。

数据安全技术层是以数据为核心，围绕数据要素在数据的全生命周期中的安全需求，对数据实施识别、变形、标记、计算等操作的技术集合。

数据安全技术应用层利用一种或多种数据安全技术组合，实现数据安全保护、安全检测/监测、隐私保护、追踪溯源等应用场景下的数据安全功能。

由此可见，技术是解决问题的重要手段，数据安全建设以管理建设为思想，以技术建设为支撑，保障企业的数据体系建设安全落地。

目前隐私信息相关的安全事件频发，其本质原因是隐私信息是重要的市场资源，同时信息系统和人存在脆弱性。

通过科学合理的管理方法和措施可以降低隐私信息安全事件的发生，其中，建立隐私信息管理体系（PIMS）是很多组织已经采纳的解决方案，隐私信息管理体系建立在信息安全管理体系（ISMS）（ISO/IEC 27001）基础之上，已经建立ISMS的组织需要在ISMS基础上进行完善，增加ISO/IEC 27018:2019等特定要求，没有建立ISMS的组织需要依据ISO/IEC 27001和ISO/IEC 27701建立ISMS和PIMS。建立PIMS体系将减少组织的损失，在一定程度上保障隐私信息的安全性。

擎标信息有数十年的数字安全管理实施经验，打造企业的数字能力，为企业的数据管理和数据安全保驾护航。