新鲜优评:成功开展数据安**力成熟度北京*M评估的五要素

0igjcl

数据要素是参与社会生产经营活动，带来经济效益的数据资源，是国家发展的战略性、基础性资源，也是驱动数字经济发展的强大动力。数据资产为企业和组织带来发展机遇的同时，也发生了大量数据安全事件，安全威胁日益严重，数据安全保护能力是网络运营者在数据经济时代的紧迫议题，也是充分释放数据资源**的关键环节。

01*M评估的**

GB/T 37988-2019《信息安全技术 数据安**力成熟度模型》（简称*M）标准要求是评估的依据。*M是从数据安全管理的角度，以企业组织的数据为**，围绕数据全生命周期进行分析、发现数据安全风险。

通过*M评估，可以对企业或组织**业务系统所面临的数据安全风险进行发现、识别和定性，帮助企业组织高效地定位自身数据安全短板、为企业组织提出具有针对性的数据安**力提升路径、防范数据安全事件风险，较终帮助企业组织获得数据安全保护能力的成熟度证明，满足安全合规要求。*M评估结果代表企业组织目前的数据安全防护水平，从L1至L5，级别越高代表的数据安全防护能力越强。

02*M评估的关键要素

*M评估受数据**、合规要求、组织发展等多方面驱动，各方面都有数据安全工作关注要素。根据我们在政务、金融等多个领域的评估实践来看，*M评估的关键要素主要由以下几个方面构成：

► 要素一：能力建设目标

*M评估首先要确定建设目标，即数据安**力成熟度级别。

*M定义了数据安**力的5个级别。L1级为随机、无序、被动地执行全过程，完全依赖于个人经验，无法复制；L2级为计划跟踪级别，适合多数企业数据安**力建设的申请级别；L3级为充分定义级，要求足够的数据安全团队**、完善的制度流程和专业的技术工具，因此在人力、物力、财力等方面投入要远**L2级，适合具有较高数据安全实践水平的企业组织申请；L4级为量化控制级，适合在数据安全领域建设水平良好的企业组织申请；L5根据企业组织的整体目标，不断改进和优化组织能力和数据安全过程。

► 要素二：数据资产范围

数据资产是为组织产生**的数据资源，是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。

**业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织，业务系统未进行集成化管理，具备几十甚至上百个系统，大大增加了*M评估企业的整改成本，在明确数据资产范围过程中，可暂不纳入辅助业务系统。评估人员有义务帮助企业组织平衡业务系统数据安全整改成本与数据资产收益。

► 要素三：数据安全风险

在*M评估工作过程中，评估人员应帮助企业组织对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程，梳理数据安全风险点，并记录所有风险点，全面掌握企业组织的数据安**力现状与建设目标的差距。

▲数据安全风险分布

为了较好地识别数据安全风险，有效有条不紊地通过数据安**力成熟度，评估人员应熟练掌握GB∕T 37988-2019 《信息安全技术 数据安**力成熟度模型》、GB∕T 35274-2017《信息安全技术 大数据服务安**力要求》等技术框架，以及《*人民共和国网络安全法》、《*人民共和国数据安全法》和《*人民共和国个人信息保护法》等上位法，必要时应对企业组织所属行业规范、合规要求进行了解。

► 要素四：数据安全意识

评估人员具备丰富的数据安全风险意识是*M评估工作的前提。评估人员需要帮助企业组织依据数据安全风险，根据数据流转过程、企业组织运作方式，形成数据安全风险知识库。依据知识库，企业组织数据安全法律法规、数据泄漏案例等培训，提高员工数据安全风险意识。

► 要素五：数据安全团队

评估人员具备丰富的数据安全风险意识是*M评估工作的前提。评估人员需要帮助企业组织依据数据安全风险，根据数据流转过程、企业组织运作方式，形成数据安全风险知识库。依据知识库，企业组织数据安全法律法规、数据泄漏案例等培训，提高员工数据安全风险意识。

综上所述，要素三至要素五在*M评估过程中存在很多主观内容，因此评估人员的专业度、经验积累和引导能力非常重要。

北京四方远望企业管理有限公司成立于2002年成立，是一家专业从事企业咨询管理、技术咨询服务的企业。主要提供北京CS认证咨询、北京CMMI认证、北京ITSS认证、北京涉密信息系统集成认证、北京国**认证、北京CCRC认证等资质的过程认证咨询服务公司。公司本着客户为上的服务理念，以专业专注的态度，诚信敬业的精神，以保证客户满意的心态为客户提供各类资质体系认证的咨询及过程改进服务。通过十余年的发展及坚持不懈的努力，赢得了国内众多客户的信任与支持，目前客户已**过3000多家，开拓进去的人才理念为远望的专业化服务提供的充足的**