DSMM評估的關鍵要素

DSMM評估受數據價值、合規要求、組織發展等多方面驅動，各方面都有數據安全工作關注要素。根據我們在政務、金融等多個領域的評估實踐來看，DSMM評估的關鍵要素主要由以下幾個方面構成：

? 要素一：能力建設目標

DSMM評估要確定建設目標，即數據安全能力成熟度級別。

DSMM定義了數據安全能力的5個級別。L1級為隨機、無序、被動地執行全過程，完全依賴于個人經驗，無法復制；L2級為計劃跟蹤級別，適合多數企業數據安全能力建設的申請級別；L3級為充分定義級，要求足夠的數據安全團隊保障、完善的制度流程和專業的技術工具，在人力、物力、財力等方面投入要遠高于L2級，適合具有較高數據安全實踐水平的企業組織申請；L4級為量化控制級，適合在數據安全領域建設水平lingxian的企業組織申請；L5根據企業組織的整體目標，不斷改進和優化組織能力和數據安全過程。

? 要素二：數據資產范圍

數據資產是為組織產生價值的數據資源，是指可以提升企業組織效益、提高管理水平或通過出售、租賃數據的方式獲得經濟收益。

核心業務數據、敏感數據、密鑰資產數據等重要數據應納入數據資產評估范圍。對于有些企業組織，業務系統未進行集成化管理，具備幾十甚至上百個系統，大大增加了DSMM評估企業的整改成本，在明確數據資產范圍過程中，可暫不納入輔助業務系統。評估人員有義務幫助企業組織平衡業務系統數據安全整改成本與數據資產收益。

? 要素三：數據安全風險

在DSMM評估工作過程中，評估人員應幫助企業組織對自身數據資產的業務系統在數據的采集、傳輸、存儲、處理、交換和銷毀過程，梳理數據安全風險點，并記錄所有風險點，全面掌握企業組織的數據安全能力現狀與建設目標的差距。

▲數據安全風險分布

為了更好地識別數據安全風險，有效有條不紊地通過數據安全能力成熟度，評估人員應熟練掌握GB∕T 《信息安全技術 數據安全能力成熟度模型》、GB∕T 《信息安全技術 大數據服務安全能力要求》等技術框架，以及《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》等上位法，必要時應對企業組織所屬行業規范、合規要求進行了解。

? 要素四：數據安全意識

評估人員具備豐富的數據安全風險意識是DSMM評估工作的前提。評估人員需要幫助企業組織依據數據安全風險，根據數據流轉過程、企業組織運作方式，形成數據安全風險知識庫。依據知識庫，企業組織數據安全法律法規、數據泄漏案例等培訓，提高員工數據安全風險意識。

? 要素五：數據安全團隊

，要素三至要素五在DSMM評估過程中存在很多主觀內容，評估人員的專業度、經驗積累和引導能力非常重要。