前言：笔者所在公司有幸作为首批十家试点单位之一，受邀参加国家标准《DSMM 数据安全能力成熟度模型》（报批稿）（以下简称 DSMM）的试点自评估项目，并作为试点企业代表参加了信安标委召开的试点工作总结会；下面分享下我们对 DSMM 标准的一些理解和试点体会。

一、什么是 DSMM

DSMM 标准以数据为中心，重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。

DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据，以衡量组织机构的数据安全能力，促进组织机构了解并提升自身的数据安全水平。

DSMM 标准原文数据安全能力成熟度模型架构如图 1 如示：

图 1：数据安全能力成熟度模型架构图

PS:本文对 DSMM 标准的介绍如无特别说明，均依据 2018.11.09 报批稿版本。

如图 1 所示，DSMM 标准包括：

4 大安全能力维度（组织建设、制度流程、技术工具、人员能力）；

7 大数据安全过程维度（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全）；

5级（从低到高依次 1-5 级），DSMM 标准对不同等级进行了定义和描述，3 级标准共计 282 个评估项。

7大过程维度又可细分为共 30 个过程域，7 大过程维度与 30 个过程域对应关系如图 2 所示：

图 2：数据安全过程域体系（点击查看大图）

如图 2 所示，每个过程域均划分为 5 级，每级从 4 个安全能力维度（组织建设、制度流程、技术工具、人员能力）提出具体的能力要求；

并非每级均包含完整的 4 个维度的能力要求，如图 2 所示，在 6.1 PA01 PA01 数据分类分级这一过程域中，仅 3 级要求包含完整的 4 个维度的要求；

对于每个数据安全过程域，高等级的能力要求包括所有低等级能力要求，针对某一具体数据安全过程域，如果 5 级的能力要求中未涉及某一关键能力的内容，则默认需达成在 4 级的能力要求中的该关键能力的内容，依此内推。

DSMM 标准和 ISO27000 标准、等保标准有何相同，又有何不同？

等保标准以备案系统为主要评估对象，偏向传统基础安全管理，侧重于物理安全、网络安全、安全建设管理等方面的安全保护。

ISO27000 侧重于信息安全管理体系的建设，作为体系化的指导文件帮助企业建立、实施和文件化信息安全管理体系（ISMS）的要求。

DSMM 强调数据保护，以数据为中心，在数据备份、数据销毁等方面与等保和 ISO27000 有重合，但是 DSMM 关注的数据采集、溯源、分析等视角，等保和 ISO27000 均未涉及，DSMM 对制度流程的要求均建立在具体的数据保护过程之上，DSMM 还强调对人员能力的评估。

DSMM 标准与等保一样有分级的概念，但关注的是数据整个生命周期的安全控制，与业务贴合更紧密。

DSMM 可以给企业带来什么好处

DSMM 标准可为组织机构在不同阶段，开展数据保护建设，提供分级别的基本实践。

二、如何开展 DSMM 评估

DSMM 评估的是整个组织机构的数据成熟能力，不局限于某一系统，如果公司业务复杂，数据规模较大，建议按照业务部门进行拆分，逐个击破。我们在 DSMM 标准评估过程中评估流程如下。

在具体实践中，我们按照不同的业务部门，分别进行评估。首先敲定各业务部门的负责人，由该负责人辅助评估过程中的资源协调工作。然后我们与各部门负责人一起梳理基本业务流程，结合 DSMM 的过程域，按照线上生产数据和线下离线数据两条线，确定各过程域的访谈部门和访谈人员，随着评估工作的开展，具体访谈人员会持续增加。

DSMM 实际访谈对象主要为开发和 IT 人员，包括开发、DBA、桌面等公共团队，也涉及到对产品、运营、HR、业务等岗位人员的访谈评估。

因为评估项较多，评估人员需仔细研读 DSMM 的评估项，提前对评估项进行总结归纳，信安标委后续提供的在线自评估工具也可作为评估辅助工具。

为了工作更高效开展，在开展 DSMM 评估之前，我们编制了 DSMM 评估工具检查表，如图 3 所示：

图 3：DSMM Assessment Tool 截图（点击查看大图）

三、DSMM 评估过程中可能遇到的问题

DSMM 评估结果，与评估人员对标准的理解有很大关系，如何更好的理解 DSMM 的要求并很好的传达给被评估人员？

建议：评估人员对标准进行归纳提炼，参考 DSMM 评估指南进行理解消化，与被评估人员进行交流时进行发散引导，不宜直接照本宣读 DSMM 的评估项。

DSMM 评估结果，受限于评估覆盖的范围和深度，以及被评估人员的配合情况

建议：评估人员应提前做好相关准备，提前了解业务基本情况和基本工具，做到心中有数，访谈范围尽量全面；选择被访谈对象时尽量选择熟悉业务场景的资深人员，对访谈者反馈的情况需进行基本验证，如现场查看、文档查阅等。

总体来说，DSMM 标准为企业的数据生命周期的安全提供了比较好的实践要求，但是目前 DSMM 标准报批稿也存在着一些小问题，如部分评估项晦涩难懂或者冗长或者描述不清晰，企业的数据成熟能力需要达到什么级别，该级别对企业又意味着什么，目前的评估指南与 DSMM 评估标准也存在差距。相信在信安标委正式发布该标准时，以上问题会得到有效解决，会有更清晰详细的评估指南和工具指导企业进行落地评估。

*本文原创作者：Rainbow2019，本文属FreeBuf原创奖励计划，未经许可禁止转载