擎标信息带你了解DSMM认证评估方式及方法

一、 评估方式

DSMM的评估所采用的方式与基线风险评估的方式类似，可以包括但不限于以下几种手段：

人员访谈：通过访谈的方式与被评估方进行交流、讨论等活动，获取相关证据，了解有关信息；

文档审核：由被评估方输入与数据安全相关的文档材料（如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单），评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项；

配置检査：根据被评估方提供的技术材料.登录相关的系统工具平台，检査配置是否与材料保持一致，对文档审核内容进行核实；

工具测试：利用技术工具对系统工具进行测试.验证是否符合数据安全成熟度模型特定等级的技术能力要求；

旁站式验证：评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。

二、评估方法

对4个关键能力的评估方法如下：

组织建设  评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规 范要求或其他手段得到确认和保障；

制度流程  检査是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执 行情况；

技术工具  检查組织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的 安全作业的实施运作情况；

人员能力  执行数据安全T作的人员是否经过专业的技能和安全意识教育培训。

三、人员能力要求 

 1、评估工作组成员能力要求

数据安全能力成熟度评估师应具备以下能力：

1）熟悉适用的法律、法规和评估程序；

2）熟悉 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》，理解相应的评估方法；

3）计算机、信息技术、网络安全等相关专业背景或从业经历；

4）了解数据治理、数据安全治理或信息安全等相关技术，具有相应的从业经历；

5）了解ITSS、企业风险评估或其他安全评估工作，具有相应从业经历。

2、评估工作组组长能力要求

1）熟悉适用的法律、法规和评估程序；

2）深刻理解 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》，精通相应评估标准及方法；

3）优秀的组织协调和项目管理能力；

4）资深安全评估类工作从业者；

5）具有数据安全治理相关行业咨询服务经验。

3、复核工作组成员能力要求

1）深刻理解 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》，精通相应评估标准及方法；

2）3年以上数据安全治理工作经验，精通数据安全能力成熟度评估过程中所到的技术与工具，对标准有解读能力；

3）复核工作组成员应为评估工作组以外的人员。

4、认证决定人员要求

1）具有相关专业教育和工作经历；

2）熟悉 GB∕T 37988《信息安全技术 数据安全能力成熟度模型》国家标准，具备相关的专业知识；

5、监督工作组成员能力要求

1）深刻理解 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》，精通相应评估标准及方法；

2）计算机、信息技术、网络安全等相关专业背景或从业经历；

3）解数据治理、数据安全治理或信息安全等相关技术，具有相应的从业经历；

4）对同一申请组织的同一认证申请，不能连续 3 年以上（含 3 年）委派同一审查人员实施审查工作。