数据安全能力成熟度模型(DSMM)国家标准应用情况与未来发展报告，64页pdf

全球数据安全治理的背景和现状是复杂而严峻的。随着数字经济的发展，数据已成为国家竞争力的战略资源，但同时也暴露在日益增长的安全风险之中。数据安全问题不仅涉及个人隐私、重要数据的保护，更触及国家安全和国际政治经济的多个层面。数据安全治理在当前面临诸多挑战和问题，比如合规性压力， 89.9%的企业认为合规需求是进行数据安全建设的主要原因，这表明监管压力是数据安全治理的主要驱动力之一；技术工具能力不足，超过 50%的企业认为现有数据安全产品/服务无法达到及格标准，突显了现有数据安全技术工具的不足；数据泄露，《2024 年上半年数据泄露风险态势报告》显示 2024 年上半年，数据泄露事件数量达到 16011 起，较 2023 年下半年增长了 59.58%，且黑产交易团伙数量增长近一倍，显示出数据泄露风险的严峻态势。综上所述，全球数据安全治理正面临多方面的挑战，需要政府、企业、组织和个人的共同努力，通过法律、技术、管理和合作等多方面措施，构建更加安全、高效的数据安全治理体系。本报告立足我国数据安全产业新发展、新变化、新需求，聚焦数据安全体系建设，梳理了数据安全能力成熟度模型（以下简称 DSMM）国家标准应用的发展历程和实践情况，首次提出以 DSMM 为核心的数据安全治理模式的未来发展方向，并进行了预测，最后希望联合监管部门、第三方机构、数据拥有方、数据方案提供方等数据安全产业上下游生态，持续推动企业、组织机构在数据安全方面达到更高成熟度水平，构建安全、健康、有序的数据安全产业生态环境.

1 DSMM标准介绍

《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）（以下简称“DSMM”）是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。 DSMM国家标准以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评价组织的数据安全能力。 2 DSMM评估介绍

2.1 评估依据

数据安全能力成熟度评估（以下简称“DSMM评估”）是依据《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）国家标准和《数据安全能力建设实施指南V1.0》，对组织的数据安全开展能力评估。 2.2 评估内容

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

图1：DSMM架构图

图2：DSMM数据安全PA体系

图3：数据生命周期 2.3 评估流程

图4：DSMM评估流程 2.4 评估目标

图5：DSMM能力等级划分 2.5 评估交付物

评估结果：DSMM标准重点关注企业业务数据，以衡量组织机构安全能力，全面展示企业数据安全能力项成熟度评估等级。评估报告：帮助企业展示数据安全能力现状，识别数据安全能力相关问题，给出评估结论、详细评估结果和阶段性安全提升建议等，给出评估等级建议。

图6：DSMM过程域能力等级分布情况（样例） 3 全国DSMM公共服务平台

全国DSMM公共服务平台（dsmm.org.cn）汇集行业最新动态、知识成果，服务于行业数据安全能力的提升。该平台按照DSMM评估标准流程实现了DSMM评估管理的电子化，包括企业信息管理、评估项目管理、证书管理等功能模块。通过该平台，一方面企业可通过评估项目管理模块提交评估申请流程，经审核通过之后可查询当前评估所处的环节；另一方面企业可通过企业信息管理模块查询企业信息，同时在通过评估之后可进行企业证书的查询。