DSMM認(rèn)證，也稱(chēng)為數(shù)據(jù)安全能力成熟度評(píng)估，也有地方稱(chēng)為《數(shù)據(jù)安全能力成熟度模型》（GB/T 37988—2019，DSMM）認(rèn)證。

DSMM 標(biāo)準(zhǔn)以數(shù)據(jù)為中心，重點(diǎn)圍繞數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面進(jìn)行安全保障。

DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機(jī)構(gòu)的數(shù)據(jù)安全能力，促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評(píng)估，也適用于第三方機(jī)構(gòu)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力進(jìn)行評(píng)估。

本標(biāo)準(zhǔn)借鑒能力成熟度模型（CMM）的思想，以CMM的通用實(shí)踐來(lái)衡量能力成熟度等級(jí)，以《要求》中的安全要求為基礎(chǔ)，定義數(shù)據(jù)安全過(guò)程域和基本實(shí)踐，指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對(duì)應(yīng)的安全要求。

DSMM將數(shù)據(jù)管理能力成熟度劃分為五個(gè)等級(jí)，自低向高依次為1級(jí):非正式執(zhí)行、2級(jí)：計(jì)劃跟蹤、3級(jí)：充分定義、4級(jí)：量化控制、5級(jí)：持續(xù)優(yōu)化，不同等級(jí)代表企業(yè)數(shù)據(jù)安全管理和應(yīng)用的成熟度水平不同。

數(shù)據(jù)安全過(guò)程維度——數(shù)據(jù)生命周期全過(guò)程，包括數(shù)據(jù) 采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、 數(shù)據(jù)銷(xiāo)毀安全，以及通用安全過(guò)程。

三維度相互交叉，形成具體的基本實(shí)踐（BP），全部的基 本實(shí)踐構(gòu)成DSMM的條款內(nèi)容；基于組織企業(yè)對(duì)各基本實(shí)踐的滿足程度，最終確定企業(yè)所達(dá)到的成熟度等級(jí)。

等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評(píng)估對(duì)象，偏向傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全，側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)。

ISO27001標(biāo)準(zhǔn)是以組織為對(duì)象，偏向信息安全管理，側(cè)重于指導(dǎo)組織依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇合適的控制措施，設(shè)計(jì)構(gòu)建信息安全管理體系。

DSMM標(biāo)準(zhǔn)也是以組織為評(píng)估對(duì)象，聚焦數(shù)據(jù)全生命周期的防護(hù)，從四個(gè)安全能力維度提出分級(jí)要求，幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu)。

DSMM的架構(gòu)由四個(gè)安全能力維度、七個(gè)安全過(guò)程維度、五個(gè)安全能力等級(jí)構(gòu)成。四個(gè)安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力；

七個(gè)安全過(guò)程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷(xiāo)毀安全、通用安全，共計(jì)30個(gè)過(guò)程域；

五個(gè)安全能力等級(jí)：從低到高依次1至5級(jí)。

DSMM是針對(duì)企業(yè)數(shù)據(jù)安全管理和應(yīng)用能力的評(píng)估框架，從標(biāo)準(zhǔn)本身講，任何企業(yè)都可以申請(qǐng)，目前主要適用于兩類(lèi)。

一是數(shù)據(jù)擁有方：大數(shù)據(jù)企業(yè)、信息技術(shù)產(chǎn)業(yè)、互聯(lián)網(wǎng)企業(yè)、金融業(yè)、銀行業(yè)、保險(xiǎn)業(yè)、證券行業(yè)、保險(xiǎn)業(yè)、電子商務(wù)平臺(tái)、數(shù)據(jù)中心、政務(wù)和高校等企事業(yè)單位。

二是數(shù)據(jù)方案提供方：數(shù)據(jù)開(kāi)發(fā)/運(yùn)營(yíng)商、信息系統(tǒng)建設(shè)和服務(wù)提供商、信息技術(shù)服務(wù)提供商等。

資產(chǎn)保護(hù)：企業(yè)通過(guò)數(shù)據(jù)安全認(rèn)證可建立完善數(shù)據(jù)安全體系，制定全面合理的數(shù)據(jù)安全制度流程及 管理措施，提高企業(yè)數(shù)據(jù)安全保護(hù)意識(shí)，保障企業(yè)數(shù)據(jù)資產(chǎn)安全。

風(fēng)險(xiǎn)防控：數(shù)據(jù)安全能力體系的建設(shè)的不僅擁有應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)生時(shí)的防護(hù)能力，更能從源頭對(duì)風(fēng)險(xiǎn)進(jìn)行防控，降低數(shù)據(jù)安全事故發(fā)生的概率。

合規(guī)要求:《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等相關(guān) 法律法規(guī)相繼出臺(tái)，對(duì)企業(yè)數(shù)據(jù)安全建設(shè)提出了要求，數(shù)據(jù)安全認(rèn)證可幫助企業(yè)滿足相關(guān)法律法規(guī)要求，落實(shí)責(zé)任義務(wù)。

政策扶持：隨著相關(guān)法律法規(guī)完善，各地區(qū)政府鼓勵(lì)當(dāng)?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系，并提供 政策扶持。

宣傳推廣：組織通過(guò)數(shù)據(jù)安全認(rèn)證，結(jié)合數(shù)據(jù)安全體系建設(shè)的經(jīng)驗(yàn)，可形成行業(yè)最佳實(shí)踐，擴(kuò)大行業(yè)知名度，帶動(dòng)行業(yè)發(fā)展。

核心競(jìng)爭(zhēng)力：通過(guò)數(shù)據(jù)安全認(rèn)證的企業(yè)，可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務(wù)提供方，提升自身核心競(jìng)爭(zhēng)力，為企業(yè)客戶提供安全的數(shù)據(jù)服務(wù)。