DSMM认证以GB/T37988-2019为依据,面向数据拥有方/方案提供方,通用基础要求覆盖主体资质、体系运行、合规信用、人员与技术、材料与流程五个方面,不同等级(1–5级)在此基础上叠加分级要求;初次申报建议从2级起步,3/4级需更强的标准化与量化管理。
核心依据与适用范围
标准:GB/T37988-2019《信息安全技术数据安全能力成熟度模型》,覆盖数据全生命周期(采集/传输/存储/处理/交换/销毁)与组织/制度/技术/人员四个维度,分级为1–5级。
适用:依法开展数据处理的独立法人或其合法组成部分,含数据拥有方与数据方案提供方。
通用基础要求(必备项)
|
维度 |
核心要求 |
关键证据 |
|
主体资质 |
独立法人或其组成部分;行业许可/资质齐全(适用时);未被责令停业、未列入严重违法失信名单 |
营业执照、行业许可、信用公示截图 |
|
体系运行 |
按GB/T37988建立体系,运行满3个月;完成至少1次内部审核并闭环整改;目标等级的流程与制度落地 |
体系文件、内审计划/报告、整改记录 |
|
合规信用 |
近3–5年无重大数据安全事故、虚假申报、证书滥用;无严重违法失信与不正当竞争;满足《数据安全法》《个人信息保护法》等 |
自查报告、事件台账、信用报告 |
|
人员与技术 |
配备数据安全专职/兼职团队;全员培训与考核;关键岗位持证(如CISP-DSG/CDSP-DSMM);关键环节部署加密/脱敏/审计/访问控制等工具 |
岗位名册、培训记录、证书、工具部署清单/日志 |
|
材料与流程 |
提交申请书、范围说明、体系文件、内审报告、证据清单;配合现场审核与整改;认证通过后接受监督审核 |
申请书、范围清单、证据包、审核整改记录 |
关键补充说明
等级差异:1级(初始)随机无序;2级(计划跟踪)有计划与跟踪;3级(已定义)标准化与复用;4级(量化管理)量化指标与控制;5级(优化)持续改进与创新。初次申报建议从2级起步,3/4级需更高的标准化与量化能力。
行业叠加:金融、医疗、政务、跨境等需满足行业专项合规(如金融许可证、病历授权、跨境数据出境备案)。
常见误区:体系运行未满3个月、未完成内审、关键环节无技术防护、存在重大事故/失信记录,均会影响受理或通过。
申报快速Checklist(可直接对照)
?主体资质齐全,无严重违法失信;
?体系按GB/T37988建立并运行≥3个月,完成内审与整改;
?近3–5年无重大数据安全事故与违规;
?人员团队到位、培训与持证齐全;
?关键环节技术工具部署与日志可查;
?材料清单完整,范围界定清晰。
特别提醒:
卓航咨询可为大、中、小型企业提供体系认证、资质认证、知识产权、项目申报、荣誉证书等的咨询代理一站式服务。咨询热线:
13927449225(杨老师)
13725532758(黎老师)
13794487312(彭老师)
以上联系方式微信同号
CSMM软件能力成熟度评估
数字化转型成熟度评估DTMM
通信网络安全服务能力评定证书
生成式人工智能服务备案