数据安全能力成熟度认证(DSMM)的办理条件主要包括以下几个方面:
企业资质:申请组织需为具有独立法人资格的实体,并且根据业务性质需具备相关的法定资质和资格,确保其业务范围和运营过程符合国家相关法律法规和标准。
人员要求:应拥有数据安全方面的专业技术人员,特别是针对DSMM认证,可能需要具备CDSP-DSMM持证测评师等专业资质的人员。对于申请成为DSMM授权技术检查机构的单位,需要拥有超过技术团队总人数10%以上的CDSP-DSMM持证测评师(不足5人的按照5人计算)。
管理体系:需按照《信息安全技术 数据安全能力成熟度模型》(GB/T37988-2019)标准要求进行数据安全管理,并已建立数据安全管理体系,至少进行过一次内部审核。对于申请成为DSMM授权技术检查机构的单位,需要具有健全的技术检查质量管理体系和内部管理制度。
历史资质:从四级认证开始,DSMM资质对认证企业过去拥有的DSMM资质的等级也提出了要求。例如,企业想要申请四级资质的前提条件就是获得过DSMM三级资质,并且三级资质的持有时间也有相应的要求。
其他要求:认证委托人及其相关方在五年内未因提供虚假信息、超范围使用DSMM认证标志或出现数据安全重大事故而被撤销DSMM认证证书。申请单位需具备高效的沟通协作能力和良好的服务态度,能够与组织建立良好的合作关系。
办理流程:
准备阶段:企业需要对自身的数据安全情况进行全面了解,确保各项安全措施落实到位。准备相关资料,如企业营业执照、组织机构代码证等,并根据业务性质和数据安全需求,制定详细的数据安全管理制度和流程。
申请阶段:企业向认证机构提交申请,填写《DSMM认证申请书》,并提供相关资料,如数据安全管理制度、安全审计报告等。认证机构将对企业的数据安全能力进行初步评估。
初评阶段:认证机构对企业提交的资料进行审核,并安排初评人员进行现场评审。初评人员将根据标准对企业的数据安全管理体系进行详细检查和评估。
改进阶段:根据初评结果,企业对存在的问题进行整改,确保数据安全措施完善。
复评阶段:认证机构对企业的整改情况进行复审,确认是否符合认证要求。
认证阶段:通过复审后,企业将获得DSMM认证证书,证书有效期为3年。
监督阶段:在认证期间,认证机构将对企业进行定期监督,确保数据安全措施持续有效。