一、 评估方式
DSMM的评估所采用的方式与基线风险评估的方式类似,可以包括但不限于以下几种手段:
人员访谈:通过访谈的方式与被评估方进行交流、讨论等活动,获取相关证据,了解有关信息;
文档审核:由被评估方输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单),评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项;
配置检査:根据被评估方提供的技术材料.登录相关的系统工具平台,检査配置是否与材料保持一致,对文档审核内容进行核实;
工具测试:利用技术工具对系统工具进行测试.验证是否符合数据安全成熟度模型特定等级的技术能力要求;