DCMM数据管理能力成熟度模型是我国面向数据治理与数据管理建设的重要标准,旨在评价组织在数据战略、制度流程、平台工具和应用价值释放方面的整体能力水平。模型通常从数据战略、数据治理、数据架构、数据标准、数据质量、数据安全、数据生命周期管理和数据应用等维度展开,并将能力划分为不同成熟度等级,帮助组织识别当前短板与改进路径。它适用于政府部门、金融机构、制造企业、互联网平台及大型集团的数据管理体系建设场景。通过开展DCMM评估,组织能够推动数据资产目录化、标准化和责任化管理,提高数据共享效率与分析可信度,降低数据孤岛、口径不一致和治理投入分散的问题,并为数据要素价值释放和合规经营提供支撑。对建设数据中台、主数据体系和数据要素运营机制也有明显促进作用。
GB/T 36073-2025 数据管理能力成熟度 DCMM
DCMM数据管理能力成熟度模型是我国面向数据治理与数据管理建设的重要标准,旨在评价组织在数据战略、制度流程、平台工具和应用价值释放方面的整体能力水平。模型通常从数据战略、数据治理、数据架构、数据标准、数据质量、数据安全、数据生命周期管理和数据应用等维度展开,并将能力划分为不同成熟度等级,帮助组织识别当前短板与改进路径。
标准信息
国际标准
无
国家标准
GB/T 36073-2025
标准名称
无
标准名称
数据管理能力成熟度评估模型
发布机构
无
发布机构
国家市场监督管理总局/国家标准化管理委员会
发布日期
无
发布日期
2025-12-31
标准简介
标准目的
- 数据治理建立组织级数据管理制度、角色职责和流程机制,夯实治理基础
- 质量提升提升数据标准化、完整性、一致性和可用性,支撑业务可信用数
- 价值释放推动数据资产沉淀、共享应用和经营分析,增强数据价值转化能力
- 风险控制降低数据孤岛、口径不一致、合规缺陷和安全风险对业务的影响
- 能力进阶通过成熟度评估明确短板与升级路径,持续提升数据管理水平
适用范围
- 行业覆盖适用于所有需要评估数据安全能力的组织,涵盖互联网、金融、医疗、政府机构、制造业等全行业,包括数据处理者与服务提供者
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据组织数据安全需求灵活调整评估维度
- 场景覆盖涵盖数据安全组织建设、制度制定、技术防护、风险管控、应急处置、人员培训等全数据安全管理场景
- 管理覆盖覆盖成熟度评估策划、实施、分析、报告、改进等全评估环节,支持组织数据安全能力的持续优化
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的评估与认证模式,满足组织数据安全能力一体化评估需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
-
- 5.1 能力域和能力项
- 5.2 成熟度评估等级
-
- 6.1 数据战略规划
- 6.2 数据战略实施
- 6.3 数据战略评估
-
- 7.1 数据治理组织
- 7.2 数据制度建设
- 7.3 数据文化建设
-
- 8.1 数据模型
- 8.2 数据分布
- 8.3 数据集成与共享
- 8.4 元数据管理
-
- 9.1 权属管理
- 9.2 价值评估
- 9.3 资产运营
-
- 10.1 业务术语
- 10.2 主数据
- 10.3 参考数据
- 10.4 数据元
- 10.5 指标数据
-
- 11.1 数据质量需求
- 11.2 数据质量检查
- 11.3 数据质量分析
- 11.4 数据质量提升
-
- 12.1 数据合规管理
- 12.2 数据安全防护
- 12.3 数据安全审计
-
- 13.1 数据需求
- 13.2 数据设计与开发
- 13.3 数据运维
- 13.4 数据退役
-
- 14.1 数据应用
- 14.2 外部数据管理
- 14.3 数据开放
- 14.4 数据服务
体系运行过程模型
| 阶段 | DCMM中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 明确目标、范围、资源和关键控制措施,建立实施计划。 | 组织环境分析、目标策划与职责分配 |
| D (实施) | 按策划执行流程和制度,推进过程运行与证据留存。 | 运行控制与支持保障 |
| C (检查) | 监测过程结果并开展评审,识别偏差和改进机会。 | 绩效评价、内审与管理评审 |
| A (处置) | 实施纠正措施与优化行动,持续提升体系绩效。 | 不符合处置与持续改进 |
GBT36073 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据DCMM标准建立符合的管理体系
- 运行要求有健全的管理体系运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期管理体系证书是三年有效期
- 监督审核管理体系证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核管理体系证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的管理体系发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 GBT36073 的价值
- 体系化管理明确目标、职责、流程与评价机制。
- 业务可控提升执行稳定性与结果可预测性。
- 风险防范建立识别、评估和处置闭环。
- 客户认可提升服务与交付的外部信任。
- 组织协同强化跨部门协同与过程衔接。
- 持续改进通过评审与复盘持续优化体系。
与其他体系结合
标准名称
相关度
常见问题及误区
Q1:DCMM贯标评估对企业数据管理提升没有实际价值?
A:不是,DCMM评估是通过系统评价组织在数据战略、数据治理、数据架构、数据质量、数据标准、数据应用等方面的能力水平,帮助企业识别短板、明确改进路径,是推动数据管理体系建设和数据价值释放的重要抓手。
Q2:只有大型企业或数字化程度高的企业才需要开展DCMM评估,中小企业没有必要?
A:不是,数据管理能力建设并非大型企业专属,中小企业同样面临数据分散、标准不统一、质量不高、应用不足等问题。通过开展DCMM评估,可结合企业发展阶段和业务特点,逐步建立规范的数据管理机制,夯实数字化转型基础。
Q3:DCMM评估达到较高等级,就说明企业的数据管理已经做到最好,不需要再优化了?
A:不是,DCMM等级反映的是企业当前阶段的数据管理成熟度水平,而企业业务发展、技术演进和管理需求都在持续变化。即使达到较高等级,也仍需根据评估结果和实际业务需求不断优化数据管理体系,持续提升管理能力。
Q4:DCMM评估只关注数据技术平台建设,不关注管理机制和制度流程?
A:不是,DCMM评估强调数据管理能力的系统性建设,不仅关注数据平台、工具和技术能力,还涵盖数据战略、组织职责、制度规范、标准体系、质量管理、数据安全、应用与运营等内容,是管理与技术并重的综合性评估。
Q5:企业自己梳理一下数据管理现状就可以了,没有必要请专业机构做DCMM评估?
A:不是,企业自评有助于了解基本情况,但专业机构在标准理解、评估方法、材料审核和改进建议等方面更具经验,能够更加客观、系统地识别企业数据管理中的问题和提升空间,使评估结果更具规范性和参考价值。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们