DSMM数据安全能力成熟度模型等级划分

近年来，随着信息技术和人类生产生活交汇融合，通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。

中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示，我国数字经济的总体规模已从 2005年的2.62万亿元增长至2019年的35.84万亿元 ;数字经济总体规模占GDP的比重也 从2005年的14.2%提升至2019年36.2% 。

可见，数字经济已成为我国国民经济增长要素的重要一员。

从2015年，国务院发布的《促进大数据发展行动纲要》开始，2018年国务院发布《科学数据管理办法》，2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，2021年3月12日，新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，数据安全政策导向明确，国家数据战略清晰。

关于信息数据的泄露，对于个人而言都不会感到陌生。根据公开报道，2020年全球数据泄露的平均损失成本为1145万美元，2019年数据泄露事件达到7098起，涉及151亿条数据记录， 比2018年增幅284% ，数据泄漏事件影响大、损失重。

而对于拥有庞大客户信息的企业，信息数据就像是“那摩克利斯之剑”，任何的疏忽造成的信息泄露或是窃取买卖，都会危害到每一个人的利益，甚至对国家安全造成威胁。

DSMM标准也就是在这样一个大背景下孕育而生。企业开始重点关注数据安全问题，也更加重视相关的评估认证工作。

二、DCMM等级划分

1、1级（非正式执行）

主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。

组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2、2级（计划跟踪）

主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。

规划执行，对数据安全过程进行规划，提前分配资源和责任；

规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；

验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；

跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

3、3级（充分定义）

主要特点：在组织级别实现了安全过程的规范定义和执行。

定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；

执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；

协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

4、4级（量化控制）

主要特点：建立了量化目标，安全过程可量化度量和预测。

建立可测的目标，为组织数据安全建立可测量的目标；

客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5、5级（持续优化）

主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。

改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。

改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。