根据国家政策的扶持,M认证也让更多的企业所熟知,但对于dsmm认证的评估申请流程以及相关内容,企业还是一知半解甚至还并不了解,那擎标小编就带大家了解一些M认证的评估方式及评估方法。
一、 评估方式
M的评估所采用的方式与基线风险评估的方式类似,可以包括但不限于以下几种手段:
人员访谈;
文档审核;
配置检査;
工具测试;
旁站式验证;
二、评估方法
对4个关键能力的评估方法如下:
组织建设 评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障;
制度流程 检査是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况;
技术工具 检查組织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的安全作业的实施运作情况;
人员能力 执行数据安全T作的人员是否经过专ye的技能和安全意识教育培训。
三、人员能力要求
1、评估工作组成员能力要求
数据安全能力成熟度评估师应具备以下能力:
1)熟悉适用的法律、法规和评估程序;
2)熟悉 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》,理解相应的评估方法;
3)计算机、信息技术、网络安全等相关专ye背景或从业经历;
4)了解数据治理、数据安全治理或信息安全等相关技术,具有相应的从业经历;
5)了解ITSS、企业风险评估或其他安全评估工作,具有相应从业经历。
2、评估工作组组长能力要求
1)熟悉适用的法律、法规和评估程序;
2)深刻理解 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》,精通相应评估标准及方法;
3)优xiu的组织协调和项目管理能力;
4)zi深安全评估类工作从业者;
5)具有数据安全治理相关行业咨询服务经验。
3、复核工作组成员能力要求
1)深刻理解 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》,精通相应评估标准及方法;
2)3年以上数据安全治理工作经验,精通数据安全能力成熟度评估过程中所到的技术与工具,对标准有解读能力;
3)复核工作组成员应为评估工作组以外的人员。
4、认证决定人员要求
1)具有相关专ye教育和工作经历;
2)熟悉 GB∕T 37988《信息安全技术 数据安全能力成熟度模型》国家标准,具备相关的专ye知识;
5、监督工作组成员能力要求
1)深刻理解 GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》,精通相应评估标准及方法;
2)计算机、信息技术、网络安全等相关专ye背景或从业经历;
3)解数据治理、数据安全治理或信息安全等相关技术,具有相应的从业经历;
4)对同一申请组织的同一认证申请,不能连续 3 年以上(含 3 年)委派同一审查人员实施审查工作。