数据安全能力成熟度认证

GB /T 37988-2019

数据安全能力成熟度‌是指企业在数据安全领域的综合能力水平，它通过评估企业在数据处理、存储、传输等环节的安全意识和能力，为企业提供明确的数据安全改进方向。这一概念类似于其他成熟度模型，如能力成熟度模型CMMI，旨在通过划分不同的成熟度等级，帮助企业识别和提升其在数据安全方面的能力和实践。

数据安全能力成熟度等级的划分通常包括几个关键等级，如非正式执行级、计划跟踪级、充分定义级、量化控制级和持续优化级。每个等级都有其特定的要求和标准，涵盖了从组织建设、制度流程、技术工具到人员能力的多个维度。这种分类方法不仅适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

数据安全能力成熟度模型（DSMM）是一个全面的、系统的数据安全能力评估框架，它借鉴了能力成熟度模型（CMM）的思想，将数据按照其生命周期分阶段采用不同的能力评估等级。

认证流程

管理体系相关认证的流程基本一致，企业申请时不需要特别记录。流程一般包括：提交申请、签订合同和交预付款；初审（第一阶段审核/文件审查，第二阶段审核/现场审核）；认证决定；结算费用，注册发证；每年的监督审核（次数略有不同）；证书期满后的再认证等环节。

申请条件

组织（企业）申请认证须具备以下基本条件：

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明。

2、申请方的数据安全管理能力认证已按GB /T 37988-2019标准的要求建立，并实施运行三个月以上。

3、至少完成一次内部审核，并进行了管理评审。

4、数据安全能力成熟度认证体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

认证范围

GB /T 37988-2019数据安全管理能力认证适用于各行各业，且不限制企业的规模大小。

资料清单

认证组织需要提交的基本资料有：

认证组织需要提交的基本资料有：

(1) 申请认证的组织名称、注册地址、经营地址、通讯地址及邮编、联系人、职务、联系方式；

(2) 认证类型；

(3) 认证依据；

(4) 体系覆盖的人数；

(5) 根据业务、组织、位置、资产和技术等方面的特性所确定的ISMS的范围和边界，包括对任何范围、删减的详细说明和正当性理由；

(6) 经营场所、分场所、临时场所以及各场所从事的活动等；

(7) 服务器数量、终端数量、用户的数量；

(8) 适用性声明、资产列表；

(9) 保密协议、信息安全敏感区域的声明；

(10) 提供咨询服务机构和人员信息；

(11) 关于认证活动的限制条件（如出于安全和/或保密等原因，存在时）。

认证报价

可能产生的费用，包括初次认证费用（申请费、审核费、注册费等）、监督审核费用（审核费、年金等）、再认证费用（申请费、审核费、注册费等）。

费用多少要看评审工作的复杂程度等因素进行核算。如：初评、监督、复评与扩大认可领域、扩大业务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生的费用等。

证书样本