数据企业该做DSMM认证吗？

近年来数据贩卖、数据垄断、数字滥用、数据窃取等相关的违法案例激增，企业在数字化转型过程中的数据安全问题愈发凸显。据统计2021年全球数据泄露事件的数量超过过去15年的总和。伴随着数据价值的提高，数据安全形势愈发严峻，数据泄露事件频发，数据泄露手段防不胜防，给企业带来了巨大的风险。

数据安全相较于传统网络安全，更加聚焦数据内容本身的保护，关注数据防泄漏、防滥用，注重防范数据风险与数据应用之间的平衡，具有跨组织联动，技术风险、操作风险、商业风险和法律风险并存的特点。

面对数据安全的严峻形势，世界各国陆续发布数据安全相关法律法规，给企业建立数据合规要求。代表性的法律法规有欧盟的《通用数据保护条例》（General Data Protection Regulation，简称GDPR）等。各国在通过数据安全领域立法保护公民隐私安全的同时，也在数据主权保护、国家安全等层面相互博弈。我国在数据安全领域目前已陆续颁布《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律，数据安全保护法规框架已初步建立。

在考虑组织的数据安全时，应将国家安全放在首位，同时考虑公共利益、公民权益、企业利益，充分考虑数据在组织内部应用流转的需求，这需要基于数据流动场景的数据安全生命周期防护方案。

目前在数据安全领域推广最为广泛的标准理论是《GT/B 37988-2019信息安全技术 数据安全能力成熟度模型》（简称DSMM）。

该标准发布于2019年，借鉴了能力成熟度模型（CMM）的思想，将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。

数据安全能力成熟度模型（简称DSMM）发布于2019年，早于《数据安全法》的颁布，但DSMM中有关数据生命周期的概念和相关要求与《数据安全法》有对应关系。

通过DSMM模型建立数据安全管理体系，企业可以找到提升数据安全能力，增强企业数据安全意识，保证《数据安全法》等合规要求在企业内部落地实施的有效途径。

DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

该标准能够用来衡量一个组织的数据安全能力成熟度水平，可以帮助行业、企业和组织发现数据安全能力短板，相关主管部门也可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围，最终提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。