DSMM合规咨询

一、关于DSMM评估（数据安全能力成熟度模型评估）

《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）（DSMM）是由阿里巴巴（北京）软件服务有限公司、中国电子技术标准化研究院、中国信息安全测评中心、中国网络安全审查技术与认证中心等业内机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。

DSMM评估依据：数据安全能力成熟度评估（DSMM评估）是主要依据《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）等法律法规国家标准规范，对组织的数据安全开展能力评估。

DSMM国家标准以组织的数据为中心，围绕数据全生命周期的全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程两大方面，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照能力成熟度等级1级到5级划分，评价组织的数据安全能力成熟度。

DSMM评估：以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设（数据安全组织的设立、职责分配和沟通协作）、制度流程（组织数据安全领域的制度和流程执行）、技术工具（通过技术手段和产品工具落实安全要求或自动化实现安全工作）以及人员能力（执行数据安全工作的人员的安全意识及相关专业能力）四个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

二、申请DSMM资质，给企业带来的收益

（1）理清企业数据安全现状，发现企业和组织的数据安全能力优缺点，提高组织数据安全规范化管理。

（2）证明组织在数据安全管理成熟度能力等级，能够增强客户和投资方的信心，从而带来竞争优势。

（3）定期开展自评估和第三方评估，有利于组织持续改进。一方面持续增强员工的数据安全意识能力，一方面整体上持续提升企业的数据安全水平。

（4）从数据的安全保护、合规使用到数据的开发利用，数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施，能为数据生产要素价值的实现打好基础。

三、DSMM评估咨询服务流程

 (1).前期咨询商务洽谈

 (2).确认合作协议

 (3).咨询项目启动

 (4).完成贯标培训

 (5). 配合完成自评估建设

 (6).评估过程协助

 (7). 企业获得DSMM资质证书，咨询项目结项

 四、DSMM架构

DSMM 的架构由以下三个维度构成:

a) 安全能力维度：

安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具和人员能力。

b) 能力成熟度等级维度：

数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级,4级是量化控制级，5级是持续优化级。

c) 数据安全过程维度：

1）数据安全过程句括数据生存周期安全过程和通用安全过程；

2）数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

CCRC合规咨询

一、关于信息安全服务资质（CCRC）

信息安全服务资质（CCRC）是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证（CCRC认证）是依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质进行评价。

随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复、系统测评、安全运维、 安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

通过对信息安全服务分类分级的资质认证，可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价，证明其服务能力，满足社会对服务的选择需求。同时，CCRC认证过程也将有效促进服务提供方完善自身管理体系，提高服务质量和水平，引导行业健康规范发展。

二、申请信息安全服务资质（CCRC），给企业带来的收益

 (1).能够提高组织信息安全服务能力规范化管理，提高业务能力和服务效率。

 (2).完善的信息安全服务体系可以保证组织业务的可持续性。

 (3).证明组织在信息安全领域某一个或几个方面的服务能力 ，能够增强客户、投资方的信心，从而带来竞争优势。

 (4).定期评估过程有助于组织持续监控企业的绩效与改进。

 (5).可以向政府及行业主管部门证明组织对相关法律法规的符合，并能得到国家认可。

 (6).是进入信息安全领域、相关产业的供应链的很好的通行证。

三、信息安全服务资质（CCRC）咨询服务流程

 (1). 前期咨询

 (2).确认合作

 (3).项目启动

 (4).完成资质申报准备

 (5).递交资料

 (6). 完成认证，获得认证证书

四、信息安全服务资质认证证书（CCRC认证）证书样本：