、?評(píng)估方式

DSMM的評(píng)估所采用的方式與基線風(fēng)險(xiǎn)評(píng)估的方式類似，可以包括但不限于以下幾種手段：

人員訪談：通過訪談的方式與被評(píng)估方進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息；

文檔審核：由被評(píng)估方輸入與數(shù)據(jù)安全相關(guān)的文檔材料（如數(shù)據(jù)安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄和其他配套表單），評(píng)估小組審核相關(guān)的文檔材料是否已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)；

配置檢査：根據(jù)被評(píng)估方提供的技術(shù)材料.登錄相關(guān)的系統(tǒng)工具平臺(tái)，檢査配置是否與材料保持一致，對(duì)文檔審核內(nèi)容進(jìn)行核實(shí)；

工具測試：利用技術(shù)工具對(duì)系統(tǒng)工具進(jìn)行測試.驗(yàn)證是否符合數(shù)據(jù)安全成熟度模型特定等級(jí)的技術(shù)能力要求；

旁站式驗(yàn)證：評(píng)估人員在現(xiàn)場通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況。

二、評(píng)估方法

對(duì)4個(gè)關(guān)鍵能力的評(píng)估方法如下：

組織建設(shè)??評(píng)估是否具有開展工作的專職/兼職崗位、團(tuán)隊(duì)或人員,其工作職責(zé)是否通過規(guī) 范要求或其他手段得到確認(rèn)和保障；

制度流程??檢査是否有關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程及其在組織機(jī)構(gòu)內(nèi)的落地執(zhí)?行情況；

技術(shù)工具??檢查組織機(jī)構(gòu)內(nèi)的各項(xiàng)安全技術(shù)手段、通過產(chǎn)品工具固化安全要求或自動(dòng)化的?安全作業(yè)的實(shí)施運(yùn)作情況；

人員能力??執(zhí)行數(shù)據(jù)安全T作的人員是否經(jīng)過專業(yè)的技能和安全意識(shí)教育培訓(xùn)。

三、人員能力要求?

?1、評(píng)估工作組成員能力要求

數(shù)據(jù)安全能力成熟度評(píng)估師應(yīng)具備以下能力：

1）熟悉適用的法律、法規(guī)和評(píng)估程序；

2）熟悉?GB∕T 37988-2019?《信息安全技術(shù)?數(shù)據(jù)安全能力成熟度模型》，理解相應(yīng)的評(píng)估方法；

3）計(jì)算機(jī)、信息技術(shù)、網(wǎng)絡(luò)安全等相關(guān)專業(yè)背景或從業(yè)經(jīng)歷；

4）了解數(shù)據(jù)治理、數(shù)據(jù)安全治理或信息安全等相關(guān)技術(shù)，具有相應(yīng)的從業(yè)經(jīng)歷；

5）了解ITSS、企業(yè)風(fēng)險(xiǎn)評(píng)估或其他安全評(píng)估工作，具有相應(yīng)從業(yè)經(jīng)歷。

2、評(píng)估工作組組長能力要求

1）熟悉適用的法律、法規(guī)和評(píng)估程序；

2）深刻理解?GB∕T 37988-2019?《信息安全技術(shù)?數(shù)據(jù)安全能力成熟度模型》，精通相應(yīng)評(píng)估標(biāo)準(zhǔn)及方法；

3）優(yōu)秀的組織協(xié)調(diào)和項(xiàng)目管理能力；

4）資深安全評(píng)估類工作從業(yè)者；

5）具有數(shù)據(jù)安全治理相關(guān)行業(yè)咨詢服務(wù)經(jīng)驗(yàn)。

3、復(fù)核工作組成員能力要求

1）深刻理解?GB∕T 37988-2019?《信息安全技術(shù)?數(shù)據(jù)安全能力成熟度模型》，精通相應(yīng)評(píng)估標(biāo)準(zhǔn)及方法；

2）3年以上數(shù)據(jù)安全治理工作經(jīng)驗(yàn)，精通數(shù)據(jù)安全能力成熟度評(píng)估過程中所到的技術(shù)與工具，對(duì)標(biāo)準(zhǔn)有解讀能力；

3）復(fù)核工作組成員應(yīng)為評(píng)估工作組以外的人員。

4、認(rèn)證決定人員要求

1）具有相關(guān)專業(yè)教育和工作經(jīng)歷；

2）熟悉?GB∕T 37988《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》國家標(biāo)準(zhǔn)，具備相關(guān)的專業(yè)知識(shí)；

5、監(jiān)督工作組成員能力要求

1）深刻理解?GB∕T 37988-2019?《信息安全技術(shù)?數(shù)據(jù)安全能力成熟度模型》，精通相應(yīng)評(píng)估標(biāo)準(zhǔn)及方法；

2）計(jì)算機(jī)、信息技術(shù)、網(wǎng)絡(luò)安全等相關(guān)專業(yè)背景或從業(yè)經(jīng)歷；

3）解數(shù)據(jù)治理、數(shù)據(jù)安全治理或信息安全等相關(guān)技術(shù)，具有相應(yīng)的從業(yè)經(jīng)歷；

4）對(duì)同一申請(qǐng)組織的同一認(rèn)證申請(qǐng)，不能連續(xù)?3 年以上（含 3 年）委派同一審查人員實(shí)施審查工作。