实施时间:2026年7月1日正式全面执行,替代旧版DCMM 1.0;核心变化:取消初始级(1级)申报通道,企业首次申报最低从2级(受管理级) 起步,同时升级准入门槛、能力域、评估规则,并区分数据甲方、乙方差异化标准。下文分为申报准入规则、等级递进要求、九大能力域建设标准、申报流程、新旧差异、常见误区六大板块,适配国内各行业企业落地使用。
一、核心政策变化:取消1级,整体准入门槛上调
(一)等级申报规则(硬性红线)
1. 初始级(1级):保留等级定义,但永久取消独立申报资格,仅作为企业内部能力自查基线,无法对外取证、申报补贴、招投标使用。
2. 首次申报底线:所有新申报企业最低申报2级(受管理级),不再支持“1级试水”模式。
3. 等级递进规则(不可跳级)
2级升3级:取得2级证书且体系稳定运行满12个月,监督审核合格后方可申报;
3级升4级、4级升5级:逐级申报,每级均需满足对应运行周期与量化指标;
证书有效期:全等级证书有效期3年,到期前6个月启动复评。
(二)通用基础准入条件(全等级通用,缺一不可)
适用于数据拥有方(甲方)、数据服务方(乙方) 两类主体,DCMM 2.0统一收紧基础门槛:
1. 主体资质:境内注册独立法人企业,分公司、分支机构不予受理;近3年无重大数据安全事件、网络安全违法、失信惩戒记录,合规信用良好。
2. 经营时长:企业成立时长≥2年(旧版为1年),具备持续经营与数据管理能力。
3. 数据体量:企业自有结构化业务数据总量≥200GB(旧版为100GB),拥有真实、常态化数据业务场景(纯代理、无自有数据企业不予通过)。
4. 人员底线:设立专职/兼职数据管理岗位,明确数据安全负责人(DSO),岗位职责书面化落地。
(三)甲乙双方差异化规则(2.0新增核心要求)
新标准区分数据甲方(数据使用/拥有方,如制造、金融、政务企业)、数据乙方(技术服务/外包方,如大数据服务商、IT服务商),评估指标、侧重点不同:
甲方:重点考核数据合规、资产权属、数据安全、内部治理;
乙方:重点考核数据交付安全、外包管控、客户数据隔离、服务流程标准化;
申报材料需额外提交业务属性说明,评估机构按对应口径评审。
二、分等级申报量化指标(2-5级,官方评审核心依据)
结合DCMM 2.0审核要点,整理各等级硬性量化标准(主流甲方企业口径):
评估等级 成立年限 最低营收 社保人数 数据体量 核心前置要求
2级 受管理级 ≥2年 ≥100万元 ≥50人 ≥200GB 专职数据岗≥2人;基础制度全覆盖
3级 稳健级 ≥3年 ≥1000万元 ≥100人 ≥1TB 跨部门数据治理小组;体系运行≥6个月
4级 量化管理级 ≥4年 ≥5000万元 ≥1000人 ≥5TB 数据中台/自动化监控;数据量化考核
5级 优化级 ≥5年 ≥1亿元 ≥5000人 ≥10TB 数据驱动业务创新;行业标杆案例
注:小微企业、轻资产科技企业可结合行业特性申请指标豁免,以评估机构现场核验为准。
三、DCMM 2.0九大能力域建设标准(核心落地内容)
DCMM 2.0将原8大能力域升级为9大能力域、33个能力项、486+评估指标,新增「数据资产域」,衔接数据资产入表政策;同时强化合规、AI数据、跨境数据治理要求,以下为各能力域建设要点(按2级起步标准撰写,逐级提升)。
1. 数据战略(基础导向)
2级要求:编制简易数据管理战略文件,明确数据管理目标、责任部门;识别核心数据资产清单,匹配业务发展需求;留存年度数据工作规划、评审记录。
高阶升级:3级及以上需制定中长期数据战略,联动企业整体发展规划,形成战略落地考核机制。
2. 数据治理(组织与制度核心)
2级要求:明确数据管理组织架构、岗位权责、考核规则;建立数据治理例会制度(每月/每季度例会,留存会议纪要);制定数据管理总章程。
关键材料:组织架构图、岗位职责说明书、会议记录、考核台账。
3. 数据架构(技术底座)
2级要求:梳理现有业务系统、数据库架构;完成核心数据流梳理,绘制数据流图;统一基础数据字段规范,杜绝数据孤岛。
附加要求:非结构化数据(文本、图片、日志)完成元数据标注。
4. 数据资产(2.0全新增设)
这是本次升级最大亮点,对接数据资产入表、确权政策,全等级必查:
2级要求:完成全量数据资产盘点,编制数据资产目录;开展基础权属登记,明确数据归属;初步开展数据价值评估。
3级及以上:建立数据资产运营机制,支撑数据产品化、市场化交易。
5. 数据标准(统一规范)
2级要求:针对客户、产品、供应商、员工等至少2类核心主数据制定数据元标准;建立标准落地映射表,确保系统字段与标准统一。
必备材料:主数据标准文档、标准落地执行记录。
6. 数据质量(闭环管控)
2级要求:建立数据质量检核规则,设立问题台账(至少3条真实问题整改记录);形成“发现-整改-复核”简易闭环。
2.0新增:要求纳入非结构化数据质量管控,高阶等级需实现实时质量监控。
7. 数据生命周期(全流程管控)
2级要求:制定数据采集、传输、存储、使用、归档、销毁全流程制度;明确数据保存期限、归档频率、销毁审批流程。
必备材料:归档日志、数据销毁审批单、操作记录。
8. 数据应用流通(原数据应用升级)
2级要求:规范内部数据共享流程;新增外部数据、AI训练数据管理,明确外部数据引入审核规则,规避算法偏见风险。
重点行业(互联网、AI企业):需提交AI数据治理、算法风险评估材料。
9. 数据安全(权重提升至25%,审核最严)
全面对标《数据安全法》《个人信息保护法》,新增跨境数据流动、个人信息保护专项要求:
2级要求:分级分类管理敏感数据、个人信息;配置基础安全防护工具(防火墙、日志审计);日志留存≥180天;制定数据泄露应急处置预案并完成至少1次演练。
跨境业务企业:必须补充跨境数据合规评估、出境审批材料。
详细信息可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278
四、2级(企业主流起步等级)完整建设清单+落地周期
绝大多数中小企业、科技企业首次申报均选择2级(受管理级),以下为可直接落地的执行方案:
(一)整体建设周期
体系搭建:30–45天(制度编写+流程梳理)
试运行留痕:不少于3个月(必备,无运行记录直接驳回)
材料整理+现场评审,全周期合计:1-3个月
(二)必备文件与留痕材料(评审必查)
1. 组织人员类:数据管理组织架构、岗位职责、社保清单、人员培训记录(年度数据安全培训全覆盖);
2. 制度文件类:9大能力域全套管理制度(数据总章程、资产盘点、安全、质量、归档销毁、应急预案等);
3. 台账记录类:数据资产目录、主数据标准、数据质量问题台账、例会纪要、演练记录、归档/销毁日志;
4. 技术佐证类:系统架构图、数据流图、安全设备截图、日志留存证明;
5. 合规类:企业信用报告、无重大安全事故承诺书、个人信息/敏感数据合规说明。
五、申报全流程(DCMM 2.0官方流程)
1. 前期自评:对照9大能力域、量化指标自查,判断申报等级,区分甲乙双方属性;
2. 体系建设与试运行(3个月+):完善制度、流程、台账,保证所有记录真实可追溯;
3. 选择官方机构:对接中国电子信息行业联合会备案的评估机构,签订服务协议;
4. 线上提交申请:在DCMM官方平台上传营业执照、财务数据、数据量声明、制度文件等;
5. 文件评审:机构线上审核材料,出具整改意见(常见整改:制度缺失、台账不足);
6. 现场评审(核心环节):评审组上门核查人员、场地、系统、原始记录,访谈岗位人员;
7. 整改闭环:针对现场问题限期整改,提交整改材料;
8. 公示发证:官方公示7个工作日,无异议后下发DCMM证书。
六、DCMM 2.0 vs 旧版1.0 核心差异汇总
对比维度 旧版DCMM 1.0 新版DCMM 2.0(2026.7.1实施)
1级初始级 可独立申报,入门试水 取消申报,仅作内部基线
最低申报等级 1级 2级(受管理级)
企业年限 ≥1年 ≥2年
数据体量 ≥100GB ≥200GB
能力域 8个 9个(新增数据资产域)
评估角色 不区分甲乙双方 区分数据甲方/乙方,差异化评审
核心侧重 基础数据管理 数据合规+资产价值+流通安全+AI治理
数据安全权重 15% 提升至25%,强化跨境、个人信息保护
七、高频驳回点&避坑指南
1. 硬性指标不达标:企业成立不足2年、数据量低于200GB、社保人数不满足对应等级要求,直接驳回;
2. 制度“纸上谈兵”:仅有制度文件,无3个月以上运行台账、会议、演练、整改记录;
3. 数据资产缺失:未做资产盘点、权属登记,这是2.0新增重灾区;
4. 合规漏洞:个人信息未分级、日志留存不足180天、跨境数据无合规材料;
5. 人员造假:专职数据岗人员无社保、岗位职责与实际工作不符;
6. 跳级申报:新企业直接申报3级及以上,不满足逐级递进规则。
八、政策价值
1. 资质背书:政企招投标、数据类项目、服务商入库硬性资质;
2. 合规避险:适配《数安法》《个保法》,规避数据泄露、合规处罚风险;
3. 资产增值:对接数据资产入表政策,助力数据资产资本化、融资增信;
4. 梯度配套:可搭配专精特新、科技型中小企业、DSMM等资质联合申报。