dsmm认证是什么
DSMM认证,全称为数据安全能力成熟度模型认证,是一种评估组织数据安全能力的标准。
DSMM认证主要依据《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)进行,该标准由中国电子技术标准化研究院联合多家权威机构编写,于2020年3月1日正式实施。DSMM认证围绕数据的全生命周期,从组织建设、制度流程、技术工具和人员能力四个维度对组织的数据安全能力进行评估,并提出分级的成熟度要求,共分为1级至5级,其中5级为最高级别。
DSMM认证的目的在于帮助企业组织发现、识别和定性核心业务系统所面临的数据安全风险,高效地定位自身数据安全短板,提出针对性的数据安全能力提升路径,防范数据安全事件风险,并最终获得数据安全保护能力的成熟度证明,以满足国家、行业等安全合规要求。
此外,DSMM认证还适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。通过DSMM认证,组织不仅能够提升自身的数据安全水平,还能够为公共数据安全保障能力提供证明,满足进入公共数据市场的条件。
DSMM认证咨询流程详解
初步了解与申请
申请单位准备 企业在申请DSMM认证时,首先需要准备数据安全能力成熟度评估申请表以及其他必要的附件材料。这些材料包括企业营业执照、组织架构建图、数据安全管理制度、技术防护措施、人员培训情况以及数据安全自评估报告等。
市场人员审核 市场人员接收到申请表后,会根据认证依据和程序的要求,对申请方提交的认证申请书及相关资料进行审理。审理的内容包括确认基本信息的完整性、消除与申请方之间的理解差异、确认公司是否有能力实施所申请的认证活动、确认申请内容是否在评估范围内、确认申请表填报信息是否完整,以及了解申请方的运作场所、期望完成审核需要的时间和任何其他影响认证活动的因素。
合同签订 通过审核的申请将签署服务协议,而不予受理的申请将以书面形式通知申请方。合同签署后,业务部门管理者将组建评估工作组,并指定评估工作组组长,由组长负责评估阶段各项工作的组织。
评估阶段
需求沟通与评估计划制定 评估工作组将与申请单位进行需求沟通,明确评估的目的、限制条件、评估范围及成果输出,并承诺公正性和保密性。需求澄清的结果需要得到双方代表的认可。随后,评估工作组将制定详细的实施计划,包括评估内容及范围、现场评估地点、工作组分工、工作日程安排以及项目中止条件等。
文件评审 评估工作组将依据认证依据和评估方案对申请方提交的文件资料进行审核,记录审核项结果,并将审核结论通知申请方。文件审核的内容包括申请表信息的完整性以及企业是否基本具备所申请的能力等级的基本条件。
现场评估 组织实施评估,现场评估工作需要在申请单位的主要经营和技术研发所在地进行。在正式评估前,评估工作组需与申请单位相关负责人及团队召开开工会,明确评估目标和工作计划,确保在评估过程中得到必需的支持和配合。
结果评定与整改 评估工作组对评估过程中收集的信息和证据进行汇总分析,就评估结果达成一致,整理输出评估报告。在评估过程中发现的不符合项和建议项应开具不符合项和建议项报告。不符合项整改需由申请单位组织分析原因,并在不超过3个月期限内采取纠正和纠正措施。
评估决定与后续流程
发证申请 发证申请评估组组长向认证决定人员提交书面评估结果,申请证书发放。对于有争议的评估结果,可以组建复核工作组,开展结果复核,并给出复核结论。最后,认证决定人员对于符合要求或完成复核的受审项目,颁发认证证书。
监督审查 获得认证证书的组织将接受年度监督审查,周期不超过12个月。若未能按时进行监督审核,应按照相关规定进行管理。当机构收到关于获证组织发生重大数据安全事故或组织结构、人员等方面发生重大变更等信息或投诉时,可增加现场监督审核的频次。
再评估 证书有效期为三年,若获证组织希望继续持有评估证书,应在证书有效期满前三个月向公司提出再评估申请,并提交相关资料。再评估活动的流程与初次评估相同,再评估的认证决定通过后,为获证组织换发新的认证证书。
以上就是DSMM认证咨询流程的详细解析,希望对您有所帮助。
