数据安全能力成熟度认证(M)
随着我国经济与科技水平的不断进步,数据已成为各行各业驱动创新发展的重要资源之一。在国家强化数据战略的大形势下,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)于2021年9月1日起正式施行。
作为我国数据安全领域的首部专门律法,《数据安全法》明确了各地区部门在数据安全方面的职责与分工,同时鼓励认证测评砖业机构开展数据安全相关检测评估、认证等服务工作,协助各行各业落实数据安全责任和义务。中共中央网络安全和信息化委员会办公室、工业和信息化部、中国人民银行也陆续出台了《网络数据安全管理条例》《工业和信息化领域数据安全管理办法》《金融数据安全数据安全分级指南》等相关政策文件和行业标准,为加速推动《数据安全法》的落实,提出《M数据安全能力成熟度模型》
赞
01
M是什么
M
《信息安全技术—数据安全能力成熟度模型》(GB/T37988-2019)是2020年3月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。 《信息安全技术—数据安全能力成熟度模型》(GB/T37988-2019)给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。02
实施M的意义
工作总结与分析
1、理清组织数据安全现状,发现组织的数据安全能力短板。 2、带来差异化竞争力:数据安全能力成熟度的认证能向企业的客户及合作伙伴表明组织保障数据安全的能力,令其对组织的信心加强,有助于增加组织在同行业内的竞争优势,稳固市场地位。 3、减少可能的损失:数据安全能力的提升,能在一定程度上降低数据安全事件给组织带来的不良声誉影响和可能的经济损失。增强员工的意识和相关技能:提升组织数据安全管理人员的技能,增强全体员工的数据安全意识。4、确保已建立的数据安全保障体系有效运转和持续提升,从而整体上提升企业的数据安全水平。 5、从数据的安全保护、合规使用到数据的开发利用,数据安全能力成熟度的认证和持续监督审核是组织数据安全的体检措施,能为数据生产要素价值的实现打好基础。
03
M对企业的价值
资产保护
企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及管理措施,提高企业数据安全保护意识,保障企业数据资产安全。风险防控
数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
合规要求
《数据安全法》《个人信息保护法》等相关法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。政策扶持
随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供政策扶持。宣传推广
组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业蕞佳实践,扩大行业zhi名度,带动行业发展。核心竞争力
通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
04
M的评估依据
一级是非正式执行级,二级是计划跟踪级,三级是充分定义级,四级是量化控制级,五级是持续改进级。级别越高代表该企业数据安全能力管理方面越you秀,用以评判组织的数据安全能力。
05
哪些组织适合申请
M标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请M,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。