DSMM(数据安全能力成熟度模型)认证的条件涉及多个方面,主要包括企业资质、人员要求、管理体系、历史资质(针对高级别认证)以及合规性等方面。以下是对DSMM认证条件的详细归纳:
一、企业资质
独立法人资格:申请组织需为具有独立法人资格的实体。
法定资质和资格:根据组织业务性质,需具备相关的法定资质和资格。
合法性原则:申请单位应遵守国家相关法律法规和标准,确保其业务范围和运营过程符合相关要求。
二、人员要求
专业技术人员:应拥有数据安全方面的专业技术人员,特别是针对DSMM认证,可能需要具备CDSP-DSMM持证测评师等专业资质的人员。
技术团队:对于申请成为DSMM授权技术检查机构的单位,需要拥有超过技术团队总人数10%以上的CDSP-DSMM持证测评师(不足5人的按照5人计算)。
三、管理体系
数据安全管理:需按照《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)标准要求进行数据安全管理。
管理体系建立:已建立数据安全管理体系,并至少进行过一次内部审核。
质量管理体系:对于申请成为DSMM授权技术检查机构的单位,需要具有健全的技术检查质量管理体系和内部管理制度。
四、历史资质(针对高级别认证)
从四级认证开始,DSMM资质对认证企业过去拥有的DSMM资质的等级也提出了要求。例如,企业想要申请四级资质的前提条件就是获得过DSMM三级资质,并且三级资质的持有时间也有相应的要求。
五、其他要求
公正性:审核和授权过程应公平、公正,不受任何不当因素的影响。
沟通协作能力:申请单位需具备高效的沟通协作能力和良好的服务态度,能够与组织建立良好的合作关系。
无违规记录:认证委托人及其相关方在五年内未因提供虚假信息、超范围使用DSMM认证标志、出现数据安全重大事故、认证委托人及其相关方一年内未被认证机构撤销DSMM认证证书等而被撤销DSMM认证证书。
六、评估流程
DSMM的评估流程包括受理评估申请、审核评估申请、签订服务协议、组建评估工作组、需求分析、制定评估计划、编制评估方案、文件审核、组织实施评估、结果评定、不符合项整改、结果汇报、发证申请、结果复核以及证书发放等环节。