常见问题

问题1：DSMM有几个级别？

DSMM以组织数据为中心，围绕数据生存周期安全过程和通用安全过程，从组织建设、制度流程、技术工具、人员能力4个能力维度，将数据安全能力划分为五个等级（五个级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。）级别越高，代表该企业数据安全能力管理方面越优秀，以评判组织的数据安全能力。

问题2：DSMM每个级别有什么区别？

DSMM等级划分与核心特点如下：

L1非正式执行：执行非正式过程，随机、无序、被动执行安全过程，依赖个人经验，无法复制。

L2计划跟踪：在业务系统级别主动实现了安全过程的计划与执行，但没有形成体系化，可验证过程执行与计划一致，跟踪、控制执行的进展。

L3充分定义：在组织级别实现了安全过程的规范执行，标准过程进行制度化，过程可重复执行，执行结果可核查。

L4量化控制：建立了量化目标，安全过程可度量。

L5持续优化：根据组织的整体目标，不断改进和优化组织能力和安全过程有效性。

问题3：DSMM证书有效期多久？

证书有效期为三年，根据现行评估规则不需要每年监督。证书到期前至少提前三个月申请再认证评估。

问题4：DSMM与ISO27001和等保标准有啥区别？

ISO27001标准是以组织为对象，偏向信息安全管理，侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施，设计构建信息安全管理体系。

等保标准以备案系统为主要评估对象，偏向传统网络系统安全，侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。

DSMM标准也是以组织为评估对象，聚焦数据全生命周期的防护，从四个安全能力维度提出分级要求，帮助组织打造与业务贴合紧密的数据安全架构。

问题5：DSMM的评估内容具体有哪些？

DSMM评估以组织为单位，以数据为中心，围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。

四个能力维度：组织建设、制度流程、技术工具、人员能力。

七个安全过程维度：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全，共计30个数据安全能力过程域和576个基本实践；

五个安全能力等级：从低到高依次1至5级。

问题6：DSMM认证适用哪些企业？

数据拥有方:大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

数据方案提供方:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。

问题7：企业申请DSMM贯标的流程是什么？

企业进行DSMM认证大概可以分3个阶段：分别是差距分析、能力建设、测量评估阶段：

问题8：企业如何核查DSMM证书的有效性和公正性？

可通过国家市场监督管理总局全国认证认可信息公共服务平台：

http://cx.cnca.cn/CertECloud/index/index/page查询证书详情，并核查验证证书的有效性。

问题8：认证DSMM给企业带来哪些好处？

1）资产保护：企业通过数据安全认证可建立完善数据安全体系，制定全面合理的数据安全制度流程及 管理措施，提高企业数据安全保护意识，保障企业数据资产安全。

2）风险防控：数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力，更能从源头对风险进行防控，降低数据安全事故发生的概率。

3）合规要求:《数据安全法》《个人信息保护法》等相关 法律法规相继出台，对企业数据安全建设提出了要求，数据安全认证可帮助企业满足相关法律法规要求，落实责任义务。

4）政策扶持：随着相关法律法规完善，各地区政府鼓励当地企业组织建立数据安全合规体系，很多地区政府对通过DSMM认证的企业都有资金补贴。

5）宣传推广：组织通过数据安全认证，结合数据安全体系建设的经验，可形成行业最佳实践，扩大行业知名度，带动行业发展。

6）核心竞争力：通过数据安全认证的企业，可作为高度受信的数据拥有方及数据服务提供方，提升自身核心竞争力，为企业客户提供安全的数据服务。