数据安全领航员：首个国家级数据安全成熟度认证

一、DSMM是什么？（数据安全能力成熟度模型）

DSMM（Data Security capability Maturity Model）是中国首部针对数据安全的国家标准，《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019），于2019年8月正式发布。该模型借鉴了国际上成熟度模型的构建思想，结合中国数据安全管理的实际需求而开发。由全国信息安全标准化技术委员会（TC260）归口管理，于2020年3月1日正式实施。

图表, 图示

中度可信度描述已自动生成

二、DSMM谁能做？（所有涉及数据处理、存储和应用的组织）

DSMM适用于所有涉及数据处理活动的组织，包括但不限于：

DSMM标准适用范围广泛，无论是金融、电信、互联网等数据密集型行业，还是制造业、政府机构等其他行业，只要涉及数据的处理、存储和应用，都可以申请DSMM认证。使用领域包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。

文本

描述已自动生成

这些条件确保了申请组织在数据安全方面具有一定的基本能力和管理体系，满足上述条件，即可申请DSMM认证。

三、DSMM怎么做？

DSMM以组织的数据为中心，围绕企业数据采集、传输、存储、处理、交换、销毁6个生命周期及通用安全过程，从企业的组织建设、制度流程、技术工具、人员能力4个安全能力维度展开，评价企业数据安全能力成熟度的等级(1级—5级五个等级）。DSMM标准共30个数据安全能力过程域、577项基本实践（其中：3级263项，2级94项）。

不同级别BP分布情况如下：

表格

描述已自动生成

企业根据自身实际情况，进行初次申请级别的选择。通常大部分适合申请DSMM二级和三级居多。

日程表

描述已自动生成

DSMM获证实施全流程，通常分为三个阶段：

图示

描述已自动生成

1.前期咨询准备阶段：企业需要对自身的数据安全情况进行全面了解，确保各项安全措施落实到位。‌

明确项目对象与范围：评估机构深入了解企业业务特点、数据安全现状和评估目标/数据活动工作。

制定方案：根据调研结果，出具定制化的DSMM评估认证方案，明确评估范围、时间计划、资源配置等。

2.评估整改阶段：自查自纠，夯实基础

差距分析：依据 DSMM标准，识别数据安全管理现状与目标等级的差距。

能力建设：参照差距分析结果，进行整改建设计划，完善数据安全管理体系，提升数据安全能力。

文档准备：整理完善数据安全管理制度、流程、记录等文档，为正式评估做好准备。

3.认证阶段：审核员（技术专家）认证审核工作的开展

一阶段：远程文件审查；

二阶段：审查组通过采用人员访谈，文档检查、配置核查‘工具测试和旁站式观察等方法开展现场评审。

审计结果及整改：根据现场评估结果，形成评估报告，明确企业数据安全能力等级和改进建议。

认证决定：评估机构根据评估报告做出认证决定，并颁发DSMM认证证书。

四、DSMM（数据安全能力成熟度模型）的设施环境和技术工具:

1.设施环境：

a. 物理安全：确保数据中心或服务器机房的物理安全，包括防火、防水、防雷击等措施。

b. 环境监控：建立环境监控系统，实时监测温度、湿度、电力等环境参数，确保数据存储和处理环境的稳定性。

c. 备份和灾难恢复：建立数据备份和灾难恢复计划，确保在硬件故障或自然灾害等情况下，数据能够及时恢复。

2.技术工具：

a. 数据分类分级工具：使用数据分类分级工具对数据进行标识和管理，确保不同敏感级别的数据得到适当的保护。

b. 访问控制工具：采用访问控制工具对数据进行权限管理，确保只有授权人员才能访问特定数据。

c. 加密和解密工具：采用加密和解密工具对敏感数据进行保护，防止未经授权的访问。

d. 数据脱敏工具：使用数据脱敏工具对敏感数据进行处理，避免敏感信息泄露。

e. 日志管理和审计工具：通过日志管理和审计工具记录和审计数据访问行为，确保数据操作的合规性。

f. 数据资产管理工具：使用数据资产管理工具对数据进行集中管理和监控，提高数据管理的效率和安全性。

这些设施环境和技术工具共同构成了DSMM的实施基础，帮助组织机构提升数据安全能力，确保数据的保密性、完整性和可用性。

五、政策驱动、行业专项任务、门槛要求

1.各地政府出台了相关鼓励企业贯标DSMM认证补贴政策。

2.上海市通信管理局关于开展“铸盾车联”2025年车联网网络和数据安全专项行动，任务清单第八项-任务15：车联网网络和数据安全能力成熟度评估（15.试点开展车联网网络和数据安全能力成熟度评估。市通管局指导行业协会及专业机构，依据《车联网网络安全和数据安全标准体系建设指南》《数据安全能力成熟度模型》，提出并制定适用于车联网场景的安全能力成熟度模型，规范车联网企业安全防护措施部署及安全服务实施，试点开展车联网网络和数据安全能力成熟度评估工作，推动车联网企业在网络安全管理、数据全生命周期保护、技术防护能力等维度的成熟度提升）。

3.除了DSMM自身认证外，在“中华人民共和国交通运输行业标准”（JT/T 1547-2025）,《交通运输数据安全风险评估指南》基于“GB/T 37988”信息安全技术数据安全能力成熟度模型（DSMM）为参考文献之一。同时，交通运输行业数据处理者和第三方评估机构开展数据安全风险评估工作的组织风险评估团队，第三方评估机构宜具备数据安全能力成熟度认证等专业检测、评估、认证资质。

（注：DSMM中国首部针对数据安全的国家标准‌，数安领域的风向标作用）

文本, 电子邮件

描述已自动生成

4.在“信息安全技术数据交易服务安全要求（GB/T 37932-2019）”引用“GB/T 37988”信息安全技术数据安全能力成熟度模型（DSMM）为规范性文件。

文本, 信件

描述已自动生成

条款:对数据交易服务机构安全要求--数据交易服务机构应该满足‘ i）条款至少满足GB/T 37988-2019中的三级要求’。

条款：交易实施--数据交易服务机构应确保交易实施环节满足‘a）数据交易服务机构应审核数据需方的数据安全能力成熟度，确保不低于数据供方的数据安全能力成熟度’。

（注：DSMM中国首部针对数据安全的国家标准，数安领域的风向标作用）