数据安全能力成熟度模型（M）申请流程，一篇就看明白。

M简介

 
     1.介绍

       

    数据安全能力成熟度模型(M)是由阿里巴巴联合中国电子技术标准化研究院等机构编写的国家标准，用于评估组织的数据安全能力。该模型能衡量组织数据安全成熟度，帮助发现短板，可用于行业、企业和组织，指导相关主管部门用于数据安全管理，提升社会数据安全水平和行业竞争力，确保大数据产业和数字经济的发展。

     2.适用行业

       

   M标准适用范围非常广泛，没 有 行 业 限 制，对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请M。

    数据拥有方（甲方）：大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位。

    数据解决方案提供方（乙方）：数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。

     3.评估机构

       

    当前，中国电子信息行业联合会在全国范围内遴选了2家评估机构。

备注：

官方认证机构

    M是数据安全服务成熟度评估模型，其资质对企业数据安全服务能力有提升作用。官方认证机构权 威性高，是很多信息安全服务企业进行认证的首 选。

授权认证机构

    因申请M认证的企业分布全国，部分企业距官方认证机构远，不方便认证。官方认证机构在多地授权，一些能力强的机构可代其审核批准认证。

三方认证机构

    授权认证机构多，但无认证协助义务。一些三方认证机构不仅能提供认证，还可协助企业准备和审核。

    M认证受众多数据安全服务公司认可，认证机构多样，企业可根据自身情况选择。

     4.M级别

       

    M将数据安全能力划分为五个等级，级别越高，代表该企业数据安全能力管理方面越优 秀;级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。

 

02

M的好处

 

1.资产保护：企业通过数据安全认证可建立完善数据安全体系，制定全面合理的数据安全制度流程及 管理措施，提高企业数据安全保护意识，保障企业数据资产安全。

2.风险防控：数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力，更能从源头对风险进行防控，降低数据安全事故发生的概率。

3.合规要求:《数据安全法》《个人信息保护法》等相关 法律法规相继出台，对企业数据安全建设提出了要求，数据安全认证可帮助企业满足相关法律法规要求，落实责任义务。

4.宣传推广：组织通过数据安全认证，结合数据安全体系建设的经验，可形成行业Zui 佳实践，扩大行业知 名度，带动行业发展。

5.核心竞争力：通过数据安全认证的企业，可作为高度受信的数据拥有方及数据服务提供方，提升自身核心竞争力，为企业客户提供安全的数据服务。

6.政策扶持：随着相关法律法规完善，各地区政府鼓励当地企业组织建立数据安全合规体系，很多地区政府对通过M认证的企业都有资金补贴。

全国各地区补贴详情

2024 

贵州省01贵阳市

对首 次通过M 2级及以上认证的企业，给予一次性30万元资金支持。

02 清镇市

对首 次通过M 2级及以上认证的企业，给予一次性15万元资金支持。

北京市01顺义区

对首 次通过M认证，二级、三级、四级、五级评估认证的工业和软件信息服务业企业分别给予15万元、20万元、25万元、30万元奖励 。

上海市01闵行区

对于完成数据安全能力成熟度模型等贯标的企业给予上限50万元的资助。

天津市01天津市

对首 次通过国家《数据安全能力成熟度模型》（M）认证的企业，给予Zui 高50万元支持。

重庆市 01合川区

对通过M二级、三级、四级的企业分别给予10万元、15万元、20万元奖励。

青岛市01西海岸新区

按对新通过M等资质认证的企业，按照Zui 高不超过申报项目平均认证成本90%给予补贴,每家企业Zui 高补贴50万元。

上下滑动，查看更多

 

03

申请条件

 

1.独立法人资格：申请组织需为具有独立法人资格的实体。

2.法定资质和资格：根据组织业务性质，需具备相关的法定资质和资格。

3.专 业技术人员：应拥有数据安全方面的专 业技术人员，

4.数据安全管理：需按照《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)标准要求进行数据安全管理。

5.管理体系建立：已建立数据安全管理体系，并至少进行过一次内部审核。

6.认证委托人及其相关方在五年内未因以下情况被撤销M认证证书:

    6.1提供虚假信息;

    6.2超范围使用M认证标志;

    6.3出现数据安全重大事故;

7.认证委托人及其相关方一年内未被认证机构撤销M认证证书。

 

04

申请流程

 

以企业组织申请M 3级为例，各阶段内容主要为：

（1）评估准备阶段：公共数据授权运营主体组织学习M标准，对照3级能力相关要求，梳理本单位相关制度、数据安全工具等，形成自评估资料集后，向评估机构提出3级认证申请。

（2）评估策划阶段：评估机构受理申请后，建立评估团队，制定评估计划并同步企业，有针对性的对公共数据授权运营主体进行贯标培训。

（3）现场评估阶段：评估团队与申请组织开首 次会议，确定评估流程、内容以及双方人员后，评估团队按计划对申请组织展开现状调研，出具评估发现报告，同步申请组织进行整改。

（4）复审确认阶段：申请组织整改完成后，评估团队进行复审；评估团队复审后出具评估报告（包含M建议级别），同步申请组织确认；结果认可后，评估团队将评估材料交付认证监督团队。

（5）认证监督阶段：认证团队对申请书、评估资料进行初步审核后，进行现场资料审核过程，出具认证决定；认证团队审核通过后发放M证书。

申请周期：45个工作日左右。

有效期：三年。

需要参与部门：申请M涉及到的相关部门主要有数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等