DSMM模型简介

数据安全能力成熟度模型（DS-CMM，或DSMM）是由是阿里巴巴和中国电子技术标准化研究院在大量实践和研究的基础上，联合三十多家企事业单位共同研究制定的。DSMM一份关于数据安全管理的标准，目前是报批稿状态，即将成为国家标准。

DSMM借鉴能力成熟度模型（CMM）的思想，将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

注：该标准还在进一步修订中，未正式发布，供参考。需要请见文末。

能力成熟度等级

1级（非正式执行）

主要特点：数据安全工作是随机、无序、被动执行的，依赖与个人，经验无法复制。

组织在数据安全领域未执行有效的相关工作，仅在部分场景或项目的临时需求执行相关工作，未形成成熟的机制，来保障数据安全相关工作的持续开展。

2级（计划跟踪）

主要特点：在项目级别主动实现了安全过程的计划与执行，没有形成体系化。

规划执行，对数据安全过程进行规划，提前分配资源和责任；

规范化执行，对安全过程进行控制，使用安全执行计划，执行相关标准和程序的过程，对数据安全过程实施配置管理；

验证执行，确认过程按照预定的方式执行，验证执行过程与可应用的计划是一致的，对数据安全过程进行审计；

跟踪执行，控制数据安全项目的进展，通过可测量的计划跟踪过程执行，当过程实践与计划产生重大的偏离时采取修正行动。

3级（充分定义）

主要特点：在组织级别实现了安全过程的规范定义和执行。

定义标准过程，组织对标准过程进行制度化，形成标准化过程文档，为满足特定用途对标准过程进行裁剪；

执行已定义的过程，充分定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，使用过程执行的结果数据；

协调安全实践，对业务系统和组织的协调，确定业务系统内，各业务系统之间、组织外部活动的协调机制。

4级（量化控制）

主要特点：建立了量化目标，安全过程可量化度量和预测。

建立可测的目标，为组织数据安全建立可测量的目标；

客观的管理执行，确定过程能力的量化测量来管理安全过程，以量化测量作为修正行动的基础。

5级（持续优化）

主要特点：根据组织的整理战略和目标，不断改进和优化数据安全过程。

改进组织能力，在整个组织范围内的标准过程使用情况进行比较，寻找改进标准过程的机会，分析对标准过程的可能变更。

改进过程有效性，制定处于连续受控改进状态下的标准过程，提出消除标准过程产生缺陷的原因和持续改进的标准过程。

数据生命周期安全

DSMM模型将数据生命周期分为了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁六大阶段，40个过程域（PA），其中包含16个通用安全过程域，和24个数据生命周期各阶段安全过程域，如下图所示：

数据安全能力构成

1、组织建设

—— 数据安全组织架构对组织业务的适应性；

—— 数据安全组织架构承担的工作职责的明确性；

—— 数据安全组织架构运作、协调、沟通的有效性；

2、制度流程

—— 数据生命周期的关键控制节点授权审批流程的明确性；

—— 相关流程、制度的制定、发布、修订的规范性；

—— 安全要求及落地执行的一致性和有效性。

3、技术与工具

—— 数据安全技术在数据全生命周期过程中的使用情况，针对数据安全风险的检测及相应能力；

—— 利用技术工具对数据安全工作的自动化和持续支持能力，对数据安全制度流程的固化执行能力。

4、人员能力

—— 数据安全人员所具备的安全技能是否能满足复合型能力要求；

—— 数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力培养。

其实，之所以分享数据治理成熟度模型，是因为在笔者看来所有的成熟度评估的套路都是一样的，掌握了数据治理能力成熟的评估，则会更加容易理解数字化转型成熟度模型。

看到这里，你可能不禁要问：数据治理成熟度评估的模型这么多，那数字化转型的评估模型都有哪些呢？

在研究数字化转型评估模型的组织也不少，罗百辉老师推荐的有中国信通院、中信联、普华永道、毕马威、阿里、华为……

— 10 —

信通院：企业IT数字化能力和运营效果成熟度模型（IOMM）

针对不同行业数字化转型的需求，中国信通院云大所推出了企业数字化转型IOMM（Enterprise Digital Infrastructure Operation Maturity Module）标准，其中I代表数字基础设施，是标准的第一部分；O代表企业整体经营，是标准的第二部分。

目前发布的是标准的第一部分，《企业数字基础设施云化管理和服务运营能力成熟度模型》，共分为五类能力成熟度阶段，分别是基础保障类、业务支撑类、平台服务类、客户运营类和创新引领类，每个类别都有合理的阶段和适用单位，将对相应阶段的能力进行评估定位水平，并以价值分数进行效果验证。

来源：栗蔚《企业IT数字化能力和运营效果成熟度模型》 和《数字化可信服务》系列标准解读

IOMM标准体系针对不同行业、不同规模企业制定面向平台IT和业务IT的五类成熟度，每个类别都对相应能力进行评估，定位水平，并以价值分数进行效果验证。适用于企业数字化转型发展过程中的相关领导者和相关人员，梳理、定位自身数字化转型能力水平，计划未来发展方向。IOMM整体框架包括两大领域、四大象限、六大能力、六大价值，从能力和价值角度全面衡量企业数字基础设施建设的能力和体现出的价值。

来源：栗蔚《企业IT数字化能力和运营效果成熟度模型》 和《数字化可信服务》系列标准解读