一次性说清楚DCMM与M两者之间的区别

一、DCMM与M资质有何不同?

(同邦集团 广州同邦信息科技股份有限公司)

DCMM数据管理能力成熟度模型与M数据安全能力成熟度模型作为数据管理和安全领域的国家标准，为企业提供了系统化的数据行业提升路径和方法。而DCMM认证和M认证在侧重点、应用场景以及实施方法上存在差异，并不能完全通用。那么，DCMM与M资质究竟有何不同呢？

“

1

定义与目的

DCMM：全称Data Capability Maturity Model 数据管理能力成熟度模型，是我国首个数据管理领域正式发布的国家标准。其主要目的是帮助企业利用先进的数据管理理念和方法，建立和评价自身数据管理能力，持续完善数据管理组织、程序和制度，以充分发挥数据投入于促进企业向信息化、数字化、智能化发展方面的价值

M：全称Data Security Maturity Model，即数据安全能力成熟度模型，是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。专注于数据安全管理的标准。其核心目标是保护数据免受未经授权的访问和使用，确保数据在传输、存储和处理过程中的安全性，减少数据泄露、篡改和丢失的风险

2

两者关注点

DCMM：更侧重于数据的全面管理，包括数据的战略规划、治理、架构、应用、质量、标准以及生命周期等各个方面。它强调数据的质量和价值提升，通过优化数据管理流程，提高数据分析和应用能力，从而支持企业的决策和业务发展

M：主要聚焦于数据的安全管理，包括数据的保护、访问控制、加密、安全监控等。它重点关注如何防止数据泄露、非法使用，并确保数据安全管理符合相关法律法规和行业标准，以降低合规风险

3

应用领域

DCMM：适用于各类需要进行数据管理和分析的企业，尤其是在大数据、数据分析、数据治理等领域中，DCMM是提升数据管理水平的有力工具

M：更适用于对数据安全要求高的行业，如金融、医疗、电子商务等，特别是那些需要保护敏感信息和个人隐私的场景。在这些行业中，M是保障数据安全的必备标准

M认证流程

“

M认证流程通常分为三个阶段-前期咨询、内部评估、现场评估认证

前期咨询：明确目标，制定方案

需求调研：评估机构深入了解企业业务特点、数据安全现状和评估目标

方案制定：根据调研结果，制定个性化的M评估认证方案，明确评估范围、时间计划、资源配置等

标准宣贯：对企业相关人员进行M标准培训，提升对标准的理解和应用能力

内部评估：自查自纠，夯实基础

差距分析：企业根据M标准进行自评估，识别数据安全管理现状与目标等级的差距

能力建设：针对差距分析结果，制定并实施整改计划，完善数据安全管理体系，提升数据安全能力

文档准备：整理完善数据安全管理制度、流程、记录等文档，为正式评估做好准备

评估认证：专家把脉，认证

现场评估：评估机构专家团队进驻企业，通过访谈、查阅文档、系统测试等方式进行现场评估

评估报告：根据现场评估结果，形成评估报告，明确企业数据安全能力等级和改进建议

认证决定：评估机构根据评估报告做出认证决定，并颁发M认证证书

评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践（BP)

M补贴政策（部分）

各地市对M资质逐步重视，出台了多项相关补贴政策，提升企业贯标热情

上海市·崇明区

鼓励企业根据国家标准开展评估和贯标，对企业完成数据管理能力成熱度模型、数据安全能力成熟度模型等贯标的，经认定，给予一次性不超过50万元扶持

天津市

对首次通过国家《数据安全能力成熟度模型》(GB/T37988-2019，M)《数据管理能力成熟度评估模型》(GB/T 36073-2018，DCMM)认证的企业，分别给予高50万元支持

贵阳市

支持企业提升管理能力。对首次通过数据安全能力成熟度模型(M)2级及以上认证，且证书在有效期内的企业给予一次性30万元资金支持

二、DCMM和M有什么不同?

（小易同学  易本证资讯）

DCMM和M是目前参考性极强的两个国家标准，也是目前含金量也是极高的两个贯标项目，那这两者有什么不一样呢？企业应该选择哪个贯标进行评估呢？为了更好地解答各大企业的疑惑，今天同邦信息科技的小编就把M和DCMM贯标放在一起说一下都有哪些不同之处？

DCMM是国家标准《数据管理能力成熟度评估模型GB/T36073-2018》（Data management Capability Maturity Model）的英文简称，DCMM是我国在数据管理领域首个正式发布的国家标准，旨在帮助企业利用先进的数据管理理念和方法，建立和评价自身数据管理能力，持续完善数据管理组织、程序和制度，充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。

数据安全能力成熟度模型（Data Security Capability Maturity Mode，简称M）是阿里巴巴和中国电子技术标准化研究院在大量实践和研究的基础上，联合三十多家企事业单位共同研究制定的。国家标准委于2019年8月30日正式发布了《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）。

M标准能够用来衡量一个组织的数据安全能力成熟度水平，可以帮助行业、企业和组织发现数据安全能力短板，相关主管部门也可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围，终提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。

DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项445条标准进行评估

M评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

1）维度一：安全能力（4个关键能力）安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力。

2）维度二：能力成熟度等级（5级）共分为5级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

3）维度三：数据安全过程（6+1）具体包括：数据生存周期安全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程。

数据拥有方：金融与保险机构、互联网企业、电信运营商、工业企业、数据中心所属主体、高校、政务数据中心等

M标准的适用范围非常广泛，没有行业的限制，对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请M，包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。

DCMM（数据管理能力成熟度评价模型）评估划分为五个等级，自低向高依次为初始级、受管理级、稳健级、量化管理级和优化级，不同等级代表企业数据管理和应用的成熟度水平不同。

证书自颁发之日起有效期3年。

M将数据安全能力划分为五个等级，级别越高，代表该企业数据安全能力管理方面越;级别自低向高依次为:1级-非正式执行、2级-计划跟踪、3级-充分定义、4级-量化控制、5级-持续优化。

证书自颁发之日起有效期3年。

DCMM评估的是企业的数据管理能力，包括数据治理、数据质量、数据集成、数据架构、数据资产管理等方面，关注数据在企业内的管理和利用

M评估的是企业的数据安全能力，包括数据保护、数据备份与恢复、数据安全运营、数据安全培训等方面，关注企业数据在存储和传输过程中的安全性和保护。

（1）可以全面、系统地评估企业的数据管理能力，包括数据质量、数据集成、数据治理、数据架构等方面；

（2）可以根据评估结果，制定针对性的数据管理策略，优化数据管理，提升数据质量和效益。

（1）可以全面、系统地评估企业的数据安全能力，包括数据的保护、备份与恢复、安全运营、安全培训等方面；

（2）可以根据评估结果，制定针对性的数据安全策略，加强数据安全保护，防范数据泄露、数据丢失等安全事件。

（1） 作为数据管理体系，协助企业与行业建立自身数据管理能力。

（2）作为能力评判依据，协助企业与行业不断提升数据管理能力。

（3）规范和标准化企业或单位数据管理，明确职能划分、工具技术，建立管理体系。

（4）准确把握当前数据资产管理现状，找准关键问题和差距，确定发展方向，持续改进，提升数据管理能力。

（5）提升企业数据管理人员技能以及意识。

（6） 整体制定企业数据管理的发展蓝图以及建设计划，持续提升数据能力。

（7）证明企业数据管理能力，增强外部信任，提升项目建设质量。

（8） 有利于帮助企业快速提升数据管理能力。

（1）促进组织机构了解并提升自身的数据安全水平，从数据生命周期的角度出发，结合各类数据业务发展所体现的安全需求开展数据安全保障工作。

（2）保障数据在组织机构之间安全地交换与共享，充分发挥数据的价值，打造更安全的大数据应用环境。

（3）衡量组织的数据安全能力成熟度水平，帮助行业、企业和组织发现数据安全能力短板。

（4）相关主管部门可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围。

（5）提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。

总体来说，数据管理能力成熟度评估模型（DCMM）和数据安全能力成熟度模型（M）是非常有价值的工具，可以帮助企业或组织全面了解自己的数字化能力和安全能力，发现问题并提出改进方案。企业或组织应该结合实际情况，合理运用这些模型，并根据评估结果制定改进计划，逐步提高数字化能力和安全能力，实现可持续发展。

三、DCMM与M的区别

（群拓科技）

DCMM数据管理能力成熟度和M数据安全能力成熟度是数据领域的两个重要国家标准，两者名称类似，经常被弄混。今天小拓就带大家一起看下它们有哪些区别。

定义

DCMM——数据管理能力成熟度

DCMM是国家标准《数据管理能力成熟度评估模型GB/T36073-2018》（Data management Capability Maturity Model）的英文简称。该标准由国家质量监督检验检疫总局、国家标准化管理委员会于2018年3月15日正式发布，是我国在数据管理领域首个正式发布的国家标准，旨在帮助企业利用先进的数据管理理念和方法，建立和评价自身数据管理能力，持续完善数据管理组织、程序和制度，充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。

M——数据安全能力成熟度

M是国家标准《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）（Data Security Capability Maturity Mode）的简称。该标准是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内机构联合编写的国家标准，于2019年8月30日发布。M标准能够用来衡量一个组织的数据安全能力成熟度水平，可以帮助行业、企业和组织发现数据安全能力短板。

评估内容

DCMM——数据管理能力成熟度

DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项，并以组织、制度、流程和技术作为八个核心域评价维度。

DCMM评估企业的数据管理能力，包括数据治理、数据质量、数据集成、数据架构、数据资产管理等方面，关注数据在企业内的管理和利用。

M——数据安全能力成熟度

M评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

M评估企业的数据安全能力，包括数据保护、数据备份与恢复、数据安全运营、数据安全培训等方面，关注企业数据在存储和传输过程中的安全性和保护。

级别划分

DCMM——数据管理能力成熟度

DCMM将数据管理能力成熟度划分为五个等级，自低向高依次为：

一级-初始级：数据管理处于无序状态，没有统一的管理要求和目标。

二级-受管理级：建立了基本的数据管理制度，但管理过程不够规范。

三级-稳健级：数据管理体系已经建立，管理流程相对规范，能够支撑企业的日常运营。

四级-量化管理级：数据管理能力实现量化管理，能够对数据管理的效果进行量化评估。

五级-优化级：数据管理达到持续优化状态，能够支撑企业的战略发展。

M——数据安全能力成熟度

M将数据安全能力成熟度划分为五个等级，自低向高依次为：

1级-非正式执行：数据安全处于无序状态，缺乏统一的管理要求和措施。

2级-计划跟踪：建立了基本的数据安全管理制度和计划，但执行不够严格。

3级-充分定义：数据安全管理体系相对完善，能够覆盖数据生命周期的各个环节。

4级-量化控制：实现了对数据安全能力的量化控制和管理，能够评估数据安全效果。

5级-持续优化：数据安全能力达到持续优化状态，能够支撑企业的战略发展和业务创新。

适用对象

DCMM——数据管理能力成熟度

数据拥有方：金融和保险机构、互联网企业、电信运营商、工业企业、数据中心所属主体、高校、政务数据中心等；

数据解决方案提供方：数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。

M——数据安全能力成熟度

数据拥有方：大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、电子商务平台、数据中心、政务和高校等企事业单位；

数据方案提供方：数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。

评估收益

DCMM——数据管理能力成熟度

帮助和指导企业获得数据管理现状，识别与行业实践差距，找准关键问题，提出数据管理改进建议和方向；

开展人员培训，提升企业数据管理人员技能，提高企业数据管理能力成熟度；

以第三方客观评估结果为依据，对外展示企业数据管理能力，满足监管要求，传递信任。

M——数据安全能力成熟度

帮助指导组织机构发现数据安全能力短板；

提升组织机构的数据安全管理能力；

增加企业数据安全的意识。

虽然DCMM数据管理能力成熟度与M数据安全能力成熟度的模型框架和评估侧重点等各方面各不相同，但均对企业提升数字化能力和安全能力具有重要的指导意义。同时，为了鼓励企业开展DCMM认证，武汉市也出台了相应的支持政策：对通过3级、4级、5级认证的制造业企业、软件和信息技术服务业企业，分别给予20万元、30万元、50万元一次性奖励。