一、标准介绍：GB/T 37988-2019 核心架构

1.标准定位

数据安全能力成熟度模型（DSMM，GB/T 37988-2019）是我国数据安全领域核心国家标准，旨在为组织提供数据安全能力的统一度量框架，覆盖数据全生命周期安全与通用安全要求，既是企业数据安全合规的 “指南针”，也是第三方评估认证的权威依据。

2.核心架构（三维一体模型）

DSMM 通过 “安全能力、成熟度等级、数据安全过程” 三个维度，全面评估企业数据安全水平，架构如下：

· 安全能力维度：4 大核心支柱（组织建设、制度流程、技术工具、人员能力），构成数据安全的基础保障；

· 成熟度等级维度：5 级阶梯式提升（1 级非正式执行→2 级计划跟踪→3 级充分定义→4 级量化控制→5 级持续优化），高等级包含低等级全部要求；

· 数据安全过程维度：覆盖数据采集、传输、存储、处理、交换、销毁 6 大生命周期阶段 + 11 项通用安全（如合规管理、应急响应），实现全场景覆盖。

3.适用对象

· 各类规模 / 行业的企业（金融、电信、制造、政务、互联网等）；

· 需满足《数据安全法》、《个人信息保护法》合规要求的组织；

· 希望系统化提升数据安全能力、对外展示安全实力的企业。

二、证书样板

证书核心信息说明

· 认证等级：明确标注 1-5 级成熟度等级（主流认证等级为 3 级 “充分定义级”、4 级 “量化控制级”）；

· 认证范围：覆盖企业核心数据业务（如 “客户数据全生命周期安全管理”、“工业数据传输与存储安全” 等）；

· 有效期：3 年（期间需配合年度监督审核，确保能力持续达标）；

· 查询渠道：国家认监委（CNCA）官网、全国 DSMM 公共服务平台可核验真伪。

三、价值意义：为什么企业需要 DSMM 评价？

1.合规必备：满足监管要求，规避法律风险

· 精准对接《数据安全法》、《个人信息保护法》等法规要求，明确合规落地路径；

· 作为数据安全合规检查的重要依据，降低监管处罚风险（如敏感数据保护不合规罚款）。

2.风险管控：系统化识别短板，筑牢安全防线

· 全面诊断数据全生命周期的安全漏洞（如传输加密缺失、脱敏不彻底、应急机制不足）；

· 建立 “组织 - 制度 - 技术 - 人员” 四位一体的安全体系，实现风险可防、可控、可追溯。

3.业务赋能：支撑数字化转型，释放数据价值

· 规范数据管理流程，为数据共享、跨境传输、业务创新提供安全保障；

· 提升数据资产可信度，支撑数据要素流通（如政务数据合作、行业数据共享）。

4. 信任背书：增强客户与合作伙伴信心

· 权威认证证书可作为企业安全实力的 “硬名片”，提升市场竞争力；

· 满足招投标、政务项目准入、客户合作等场景的安全资质要求。

四、服务特色与承诺

（一）核心服务特色

1. 专属专家团队赋能：组建由 DSMM 认证资深专家、行业安全顾问、合规法务组成的专属团队，平均拥有 8 年以上数据安全领域经验。

2. 定制化精准服务模式：拒绝 “一刀切” 方案，基于企业规模、业务场景、现有安全基础及目标认证等级，量身打造适配性强的改进路径，避免资源浪费，确保每一项优化措施都贴合实际需求。

3. 全流程闭环式支持：从前期诊断到持续优化，提供 “全流程” 管家式服务，每个阶段均有明确的责任分工、时间节点和交付成果，全程主动跟进进度，无需企业额外协调多方资源，实现 “省心、省力、高效” 获证。

4. 高效化获证保障：通过标准化流程管控、模拟评审提前排查问题、审核要点精准辅导等方式，大幅降低整改返工概率，助力企业快速拿证。

5. 长期化增值服务：获证后不终止服务，持续跟踪行业法规更新、业务场景变化，主动提供体系优化建议，实现数据安全能力持续提升。

（二）郑重服务承诺

1. 时效承诺：严格遵守各服务阶段的周期约定，若因曼顿公司自身服务效率问题导致周期延误，将免费延长后续技术支持服务期限。

2. 合规适配承诺：确保搭建的安全体系完全符合 GB/T 37988-2019 标准及《数据安全法》《个人信息保护法》等相关法规要求，若因体系设计问题导致企业在合规检查中出现不合格项，将免费提供专项整改辅导直至达标。

3. 获证保障承诺：对于按要求配合完成全部服务流程的企业，若首次认证未通过，将免费提供二次体系优化、审核辅导等全套服务，直至成功获证（不含认证机构收取的二次审核费用）。

4. 服务质量承诺：为每家企业配备 1 名专属项目经理 + 1 名技术顾问，提供 7×12 小时咨询响应服务（工作日 1 小时内回复，节假日 4 小时内回复），确保企业在服务过程中遇到的问题能及时解决。

5. 保密承诺：与企业签订正式《保密协议》，对服务过程中接触的企业商业秘密、数据资产信息、业务流程、安全体系文档等所有敏感信息严格保密，绝不向任何第三方泄露，若发生保密违规，将承担相应法律责任。

五、服务流程与主要工作

曼顿公司提供 “全流程”管家式 DSMM 评价服务，从前期诊断到持续优化，全程专业支持，确保高效获证：

1.前期诊断：精准定位差距（1-2 周）

· 曼顿工作：组建 DSMM 认证专家团队，深入企业调研数据业务场景、现有安全体系；通过文档审核、人员访谈、工具检测，识别与目标等级（如 3 级、4 级）的核心差距，输出《差距分析报告》；

· 客户配合：提供现有数据安全制度、技术工具清单、业务流程说明等基础材料。

2.体系搭建：定制化改进方案（4-8 周）

· 曼顿工作：根据差距分析结果，协助企业搭建 / 优化数据安全体系 —— 包括制定组织架构（如设立数据安全岗）、完善制度流程（如数据分类分级规范）、适配技术工具（如脱敏 / 加密 / 审计工具选型）、开展人员培训；

· 客户配合：指定专人对接，参与制度评审、流程落地等关键环节。

3.认证申请：对接权威机构（1 周）

· 曼顿工作：协助企业整理认证材料（体系文件、运行记录、技术验证报告等），通过全国 DSMM 公共服务平台提交申请，协调认证机构排期；

· 客户配合：确认申请材料准确性，签署相关文件。

4. 审核配合：全程保驾护航（2-3 周）

· 曼顿工作：审核前开展模拟评审，针对性辅导现场答辩要点；审核过程中陪同对接认证机构，解答审核疑问，协助处理整改项；

· 客户配合：提供审核所需的现场环境、操作演示、人员访谈支持。

5.持续优化：保障能力达标（长期）

· 曼顿工作：获证后提供年度监督审核辅导，跟踪安全体系运行效果；根据业务变化、法规更新，提供体系优化建议，助力向更高成熟度等级进阶；

· 客户配合：定期反馈体系运行问题，落实优化措施。