01
M认证是什么?
《信息安全技术 数据安全能力成熟度模型》(GB/T37988-2019)(以下简称“M”)是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内quanwei机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。
M国家标准以组织的数据为中心,围绕数据“采集、传输、存储、处理、交换、销毁”全生命周期,从4个能力维度,按照1-5级成熟度,评价组织的数据安全能力。
02
M认证适用于哪一类对象?
M标准适用范围非常广泛,没有行业限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请M。
数据拥有方(甲方):大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。
数据解决方案提供方(乙方):数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。
03
M的架构具体有哪些?
M的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。四个安全能力维度:组织建设、制度流程、技术工具、人员能力;七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;五个安全能力等级:从低到高依次1至5级。
M标准内容组成
04
M评估分哪几个等级?
M将数据安全能力划分为五个等级,级别越高,代表该企业数据安全能力管理方面越youxiu,用以评判组织的数据安全能力。
M评估等级
05
M对企业有哪些价值?
保障数据资产安全
企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
降低数据安全事故风险
数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
扩大企业zhiming度
组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业蕞jia实践,扩大行业zhiming度,带动行业发展。
提升企业行业竞争力
通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
06
M评估流程与获证周期
整个流程共分为三个阶段:差距分析→能力建设→测量评估。获证周期一般为45个工作日(仅参考,预估无多场所估算人日),证书自颁发之日起有效期3年。具体评估流程如下——
M评估流程
07
M与ISO27001、等保标准有何区别?
M是以组织评估为对象,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构。
ISO27001也是以组织为对象,偏向信息安全管理,侧重于指导组织依据信息安全风险评估的结果,选择合适的控制措施,设计构建信息安全管理体系。
网络安全等级保护标准(等保标准)等保标准以备案系统为主要评估对象,偏向传统网络系统安全,侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。