DSMM(数据安全能力成熟度评估,依据 GB/T 37988-2019)证书办理的条件、等级、全流程、费用、周期、材料清单、机构选择、维护要求做详细介绍。
一、DSMM 是什么
全称:数据安全能力成熟度模型评估(Data Security Maturity Model)
依据:GB/T 37988-2019
发证:国家认监委备案的第三方认证/评估机构
等级(共5级,企业主流做 2/3 级):
1级 非正式执行级(极少企业做)
2级 计划跟踪级(入门合规,多数企业初次选择)
3级 充分定义级(金融、医疗、政务、上市/国企常见)
4级 量化控制级(行业领先)
5级 持续优化级(暂不开放)
详细信息可直接在线与方圆盛世客服联系,或电话咨询官方热线:400-090-3278
二、办理基本条件
1. 独立法人:营业执照有效,无经营异常
2. 合规记录良好:近3年无重大数据泄露、无重大违法失信
3. 有数据安全团队:至少 5人 左右专职/兼职(安全、IT、法务、业务)
4. 有真实数据业务:属于数据拥有方或数据服务提供方
5. 初次申报:只能从 1级或2级 起步,不能跨级报3级;升级需间隔 ≥12个月
三、办理全流程
1)前期准备 + 自评
成立项目组:安全/IT/法务/业务/运维
确定范围:核心业务系统 + 核心数据(客户、交易、敏感个人信息等)
对照 DSMM 32个过程域做内部自评
输出:自评价表、数据资产清单、制度目录、差距清单
2)选择官方授权机构 + 签约
机构必须在国家认监委(CNCA)备案
签约:评估协议 + 保密协议 + 付款
3)文件审查(文审)
提交全套体系文件:
数据安全管理制度、分类分级、采集/传输/存储/共享/销毁流程
风险评估、应急预案、审计日志、培训记录、演练记录等
机构出具:文审不符合项 → 企业整改 → 复审通过
4)现场评估
首次会议:范围、计划、抽样
现场:文档复核、人员访谈、技术工具核查、配置/日志抽查
打分:按5个等级评定
输出:现场问题清单 → 15个工作日内整改
5)报告 + 发证
机构出具正式《数据安全能力成熟度评估报告》
技术委员会终审 → 发放 DSMM 证书
证书可在:国家认监委/全国认证认可信息公共服务平台查询
四、必须准备的材料清单(直接照此整理)
1. 营业执照、法人身份证
2. 组织架构图、数据安全团队名单及岗位职责
3. 数据资产清单(分类分级:公开/内部/敏感/核心)
4. 数据安全制度体系(全套):
数据安全总策略、数据分类分级管理办法
数据采集/传输/存储/使用/共享/销毁/出境安全管理
数据安全风险评估、应急响应、事件处置
安全审计、日志管理、权限管理、密码管理
人员安全、培训、保密协议
5. 近6–12个月记录:
风险评估报告、应急演练记录
安全培训记录、权限变更记录
审计日志、漏洞修复记录
6. 自评价表(覆盖 DSMM 32个过程域)
五、证书维护(有效期3年)
每年1次监督审核(第12个月、第24个月)
3年到期前3个月申请再认证(换发新证)
监督/再认证不通过 → 暂停/撤销证书
六、常见坑
1. 不要找无认监委备案的机构 → 证书无效
2. 初次不能直接报3级,必须从2级起
3. 只做文档、现场无实际措施 → 严重不符合项,直接不通过
4. 数据分类分级不清、无销毁记录、无审计日志 → 必扣分
5. 团队无专职安全人员、无培训记录 → 影响等级
七、我可以帮你直接落地
给你一份 可直接套用的 DSMM 2级/3级全套制度模板 + 自评价表模板
帮你筛选 2–3家深圳/广东本地、认监委备案、报价透明的机构
提供 办理时间表 + 材料清单整理指引