GB/T 37988-2019是中国国家标准《信息安全技术 数据安全能力成熟度模型》(DSMM),是我国数据安全领域的重要标准。该标准建立了数据安全能力成熟度评估框架,从组织建设、制度流程、技术工具及人员能力四个维度,评估组织的数据安全能力。标准将数据安全能力划分为五个成熟度等级(从一级到五级),涵盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁全生命周期的安全要求。核心内容包括数据安全组织架构、数据安全策略规划、数据分类分级、数据安全风险评估、数据安全技术措施(加密、脱敏、访问控制等)、数据安全审计、数据安全应急响应及数据安全持续改进。该标准适用于所有处理数据的组织,通过评估可识别数据安全能力差距,指导数据安全建设,提升数据安全管理水平,满足《数据安全法》等法规要求。
GB/T 37988-2019 数据安全能力成熟度 DSMM
GB/T 37988-2019是中国国家标准《信息安全技术 数据安全能力成熟度模型》(DSMM),是我国数据安全领域的重要标准。该标准建立了数据安全能力成熟度评估框架,从组织建设、制度流程、技术工具及人员能力四个维度,评估组织的数据安全能力。标准将数据安全能力划分为五个成熟度等级(从一级到五级),涵盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁全生命周期的安全要求。
标准信息
国际标准
无
国家标准
GB/T 37988-2019
标准名称
无
标准名称
信息安全技术 数据安全能力成熟度模型
发布机构
无
发布机构
国家市场监督管理总局
国家标准化管理委员会
发布日期
无
发布日期
2019 年 8 月
标准简介
标准目的
- 评估安全能力建立数据安全能力成熟度评估体系,科学评估组织数据安全管理与技术防护能力,明确能力短板与提升方向
- 规范评估流程统一数据安全能力成熟度评估标准与流程,确保评估工作的客观性、公正性和一致性,提升评估结果的可信度
- 推动能力提升基于评估结果,指导组织针对性优化数据安全管控措施,持续提升数据安全能力成熟度等级
- 保障数据安全通过成熟度评估,强化组织数据安全风险管控意识,防范数据安全事件发生,保障数据资产安全
- 适配合规要求确保评估体系符合国家数据安全相关法律法规及行业标准,助力组织满足数据安全合规评估要求
适用范围
- 行业覆盖适用于所有需要评估数据安全能力的组织,涵盖互联网、金融、医疗、政府机构、制造业等全行业,包括数据处理者与服务提供者
- 规模覆盖适配小微企业、中小企业、大型集团、跨国企业等不同规模组织,可根据组织数据安全需求灵活调整评估维度
- 场景覆盖涵盖数据安全组织建设、制度制定、技术防护、风险管控、应急处置、人员培训等全数据安全管理场景
- 管理覆盖覆盖成熟度评估策划、实施、分析、报告、改进等全评估环节,支持组织数据安全能力的持续优化
- 认证覆盖支持单一站点、多站点、集团化等不同组织架构的评估与认证模式,满足组织数据安全能力一体化评估需求
核心要素
管理控制
核心维度覆盖占比
人工智能(AI)定义
人工智能(AI)定义
人工智能的三大核心要素
三大要素能力图
信息安全核心:CIA 三要素
核心概念定义
IT服务管理三要素
IT服务管理过程
CS能力评估等级体系
服务类型细分
部署模式细分
全等级综合对比
能力维度雷达对比
ITSS咨询设计核心说明
标准内容
- 1 范围
- 2 规范性引用文件
- 3 术语和定义
- 4 缩略语
-
- 5.1 成熟度模型架构
- 5.2 安全能力维度
- 5.3 能力成熟度等级维度
- 5.4 数据安全过程维度
-
- 6.1 数据分类分级
- 6.2 数据采集安全管理
- 6.3 数据源鉴别及记录
- 6.4 数据质量管理
-
- 7.1 数据传输加密
- 7.2 网络可用性管理
-
- 8.1 存储媒体安全
- 8.2 逻辑存储安全
- 8.3 数据备份和恢复
-
- 9.1 数据脱敏
- 9.2 数据分析安全
- 9.3 数据正当使用
- 9.4 数据处理环境安全
- 9.5 数据导入导出安全
-
- 10.1 数据共享安全
- 10.2 数据发布安全
- 10.3 数据接口安全
-
- 11.1 数据销毁处置
- 11.2 存储媒体销毁处置
-
- 12.1 数据安全策略规划
- 12.2 组织和人员管理
- 12.3 合规管理
- 12.4 数据资产管理
- 12.5 数据供应链安全
- 12.6 元数据管理
- 12.7 终端数据安全
- 12.8 监控与审计
- 12.9 鉴别与访问控制
- 12.10 需求分析
- 12.11 安全事件应急
体系运行过程模型
| 阶段 | GBT37988中的定义 | 在标准中的核心映射 |
|---|---|---|
| P (策划) | 识别信息资产和风险,明确安全目标、适用控制和治理策略。 | 第4章、5章、6章(上下文、领导作用、风险策划) |
| D (实施) | 落地安全控制、职责分工、运行流程与监控机制。 | 第7章、8章(支持与运行)及控制域实施 |
| C (检查) | 通过监控、审计、评审验证控制有效性并识别差距。 | 第9章(监视测量、内审、管理评审) |
| A (处置) | 处理安全事件和不符合,更新风险评估与控制措施。 | 第10章(不符合、纠正和持续改进) |
GBT37988 标准解读
- 暂无对应标准解读,欢迎联系我们获取专项方案。
信息安全运行控制
云服务信息安全控制措施
核心维度覆盖占比
个人身份信息(PII)保护控制措施
核心维度覆盖占比
个人信息安全规范控制措施
核心维度覆盖占比
公有云隐私控制措施
核心维度数量占比
隐私概念
隐私控制者 vs 隐私处理者 核心区别
| 对比维度 | 隐私控制者 | 隐私处理者 |
|---|
隐私控制措施分类
隐私控制措施分类占比
七项质量管理基本原则
领域控制措施
核心维度覆盖占比
数据安全能力成熟度等级
数据安全过程
认证咨询流程
→→→→→→→→→
初次获证要求
- 合规性证明需持有法律地位证明文件(如营业执照)
- 资质许可特殊认证范围,需提供必要的行政许可、资质证书、强制性认证证书
- 成立周期公司成立超过3个月
- 运行周期体系运行超过3个月
- 体系要求依据GBT37988标准建立符合的数据安全能力成熟度评估
- 运行要求有健全的数据安全能力成熟度评估运行证据
- 内审管评必须有一次完整的内审和管理评审
- 现场审核通过一二阶段现场审核,并完成不符合整改
证书维护要求
- 证书有效期数据安全能力成熟度评估证书是三年有效期
- 监督审核数据安全能力成熟度评估证书需每年一次监督审核,与上次审核间隔不超过12个月
- 再认证审核数据安全能力成熟度评估证书有效期3年,到期前需进行一次换证审核,审核通过后,换发新三年周期的有效证书
- 变更审核当组织的数据安全能力成熟度评估发生变化,比如公司业务调整、办公地址变化、组织机构调整、人员变化等,可申请证书变更,可结合监督审核 / 换证审核一起进行变更,也可以单独申请变更
- 证书暂停当证书超出监督审核周期时,证书进行暂停状态,暂停期间不可以使用证书
- 证书撤销当证书超出三年有效期而没有进行换证审核,或者在暂停截至日期前没有进行有效的监督审核,或发生重大质量安全事故或有严重违法违规行为,或被列入质量信用严重失信企业名单,证书会进行撤销处理
实施 GBT37988 的价值
- 风险可控识别信息资产风险并建立控制措施。
- 合规治理满足数据安全与隐私合规要求。
- 客户信任提升客户对平台与服务的安全信心。
- 业务连续减少安全事件对业务运行的影响。
- 治理能力形成跨部门协同的安全管理机制。
- 持续防护通过监测审计持续提升防护能力。
与其他体系结合
标准名称
相关度
常见问题及误区
Q1:数据安全能力成熟度评估只是走形式,评估结果无实际意义?
A:不是,评估是科学、全面评价组织数据安全能力的手段,结果能精准识别组织数据安全的薄弱环节,为优化提升提供明确的方向,是组织提升数据安全能力的重要依据。
Q2:只有大型企业才需要开展数据安全能力成熟度评估,中小企业无需评估?
A:不是,中小企业同样存在数据安全风险,评估可根据中小企业的业务特点和数据规模,制定适配的评估指标,帮助中小企业识别风险、提升数据安全能力。
Q3:数据安全能力成熟度评估达到最高等级,就意味着数据绝对安全?
A:不是,评估等级代表组织当前的数据安全能力水平,而数据安全风险是动态变化的,组织需根据评估结果持续改进,提升数据安全能力,而非一劳永逸。
Q4:数据安全能力成熟度评估只关注技术防护能力,不考虑管理能力?
A:不是,评估是全维度的能力评价,涵盖数据安全战略、组织架构、制度流程、技术防护、人员能力、应急处置等,是管理能力与技术能力的综合评价。
Q5:企业自行开展数据安全能力成熟度评估即可,无需第三方机构参与?
A:不是,第三方机构具有专业性和客观性,能更全面、精准地评价组织的数据安全能力,避免企业自行评估的片面性,评估结果更具权威性。
认证及咨询费用
费用影响因素占比
组织地理位置(及多个办公场所)15%
一线城市或多办公场所会增加差旅与审核组织成本,偏远地区可能有额外服务费用。
组织人员数量20%
人员规模影响审核人日和咨询工作量,人数越多,评估与辅导投入越高。
组织业务范围10%
业务线越多、范围越广,体系边界与过程设计越复杂,实施成本会同步增加。
选择认证机构25%
不同认证机构的品牌影响力、审核规则与项目组织方式不同,费用差异较明显。
咨询质量要求25%
资深顾问、定制化交付与全流程辅导方案,通常较基础辅导投入更高。
认证周期要求10%
加急周期会带来额外资源协调成本,常规周期通常更具费用优势。
最终费用,请联系我们