企业在发展大数据业务、提供大数据服务的同时，也面临着大数据带来的诸多安全隐患，如隐私泄漏、数据开源组件漏洞、数据可用性和完整性破坏等，大数据安全与否已成为大数据应用成败的关键。通过大数据安全评估可详细了解大数据安全现状，所以大数据安全能力评估成为了发展大数据安全的重要组成部分。

天融信安全能力成熟度评估模型主要由数据生命周期安全、安全能力维度和能力成熟度等级构成，借鉴了数据安全能力成熟度模型（DSMM）的思想，以DSMM的通用实践来衡量能力成熟度等级，同时也参考了《GB/T37988-2019信息安全技术数据安全能力成熟度模型》中的能力成熟度。

• 数据生命周期安全：以数据为中心，围绕数据生命周期，提炼出大数据环境下针对数据生命周期各阶段相应的数据安全过程域体系；

• 安全能力维度：明确组织机构在各数据安全领域所需要具备的能力维度，分别为制度流程、人员能力、组织建设和技术工具四个关键能力维度；

• 能力成熟度等级：基于统一的分级标准，细化组织机构在各数据安全过程域的5个级别的能力成熟度分级要求，具体如下:

随机、无序、被动地执行安全过程，依赖于个人，经验无法复制；

在项目级别主动实现了安全过程的计划与执行，没有形成体系化；

在组织级别实现了安全过程的规范定义与执行；

建立了量化目标，安全过程可进行度量与预测；

根据组织的整体目标，不断改进和优化安全过程。

天融信大数据安全评估内容，以《GB/T37988-2019信息安全技术数据安全能力成熟度模型》标准中的评估要求为框架，以《GB/T35274-2017信息安全技术大数据服务安全能力要求》标准中的安全技术要求为基础，以管理体系和技术体系为重点评估项，充分调研客户实际现状，结合积累的项目实践经验，为客户制定技术整改与管理规划的方向，帮助客户达到所对应的安全要求。

大数据安全评估涉及需求分析、安全战略规划体系、安全策略制定、安全组织和人员管理、基于数据生命周期的设计、大数据资产识别与管控、供应链服务、大数据合规8个安全域，40个过程域，每个过程域使用“组织建设、流程制度、技术工具、人员能力”四个安全能力维度，共计160个能力评估项。

在大数据时代，确保重要数据不被泄漏已成为人们首要关注的问题。通过对大数据在组织、流程、技术、人员等方面的评估，从数据安全治理的角度，制定基于数据全生命周期的数据安全防护方案以及相关技术措施，越来越受到企业安全管理者的重视和青睐。

大数据的安全建设不是一蹴而就的，除了管理和技术能力建设外，融入配套的专业安全服务同样必不可少，如安全评估、渗透测试、应急响应、安全培训等。天融信将不断完善、调整大数据安全评估的方法和内容，以适应未来变化更快、要求更高的大数据安全新需求，更好地满足客户的大数据安全需求，为客户提供更加专业的安全保障服务。