根据国家政策的扶持，DSMM认证也让更多的企业所熟知，但对于dsmm认证的评估申请流程以及相关内容，企业还是一知半解甚至还并不了解，接下来就带大家了解一些DSMM认证的评估流程。

1、 评估流程

1.1 初次评估

1.1 受理评估申请

审核评估申请 申请单位应提供数据安全能力成熟度评估申请表及其他必要附件材料，市场人员接收申请表，并根据认证依据、程序等要求，对申请方提交的认证申请书及相关资料进行审理，以确定：

1）所需要的基本信息都得到提供（特别指自评估信息的完整性）；

2）公司与申请方之间任何已知的理解差异得到消除；

3）公司有能力并能够实施所申请的认证活动；

4）申请内容是否在评估范围内；

5）申请表填报信息是否完整；

6）申请方的运作场所、期望完成审核需要的时间和任何其他影响认证活动的因素；

审核通过的签订服务协议，对不予受理的申请应书面通知申请方。

合同签署 对通过审核的评估申请，按照公司合同签署流程签订服务协议。

1.2 组建评估工作组

服务协议签订后，业务部门管理者组建评估工作组并指定评估工作组组长，由评估工作组组长负责评估阶段各项工作组织。

1.3 制定评估计划及方案

需求分析 评估工作组应与申请单位进行需求沟通，明确本次评估目的、限制条件、评估范围及成果输出，并做出公正性和保密性承诺。需求澄清结果应征得工作组与申请单位代表的共同认可。

制定评估计划 评估工作组应制定详尽的实施计划，计划内容应包含但不限于评估内容及范围、现场评估地点、工作组分工、工作日程安排、项目中止条件等。

编制评估方案 评估工作组应编制满足需求的评估方案。

1.4 文件评审

评估工作组依据认证依据和评估方案对申请方提交的文件资料开展审核，记录审核项结果，并将审核结论通知申请方。

文件审核内容包括：

1) 申请表信息是否完整

2) 企业是否基本具备所申请能力等级的基本条件

审核结论包括：

1）基本符合所申请能力等级要求，准许进入现场审核；

2）不符合所申请能力等级要求，退回申请或请申请方重新评估申请能力等级后再次提交申请；

3）文件资料不完整，需待申请方完成相应修订后重新审核给出结论；

1.5 实施现场评估

组织实施评估，现场评估工作需在申请单位的主要经营和技术研发所在地。

开工会 评估工作组需在入场正式评估前与申请单位相关负责人及团队召开开工会，明确评估目标，对齐工作计划，宣布工作纪律及相应要求，确保在评估过程中能够得到必需的支持和配合。

现场评审 评估工作组依据认证依据和评估方案实施评估，评估过程需遵守保密性、公正性要求，运用合适的方法及工具对文件资料、人员、环境等开展现场评估，并如实记录审核项结果。

结果评定 评估工作组对评估过程中收集的信息和证据进行汇总分析，就评估结果达成一致，整理输出评估报告。在评估过程中发现的不符合项和建议项应开具不符合项和建议项报告。

不符合项整改 对审核中发现的不符合项，申请单位组织分析原因，并在不超过 3 个月期限内采取纠正和纠正措施。在组织完成整改或达到整改期限后，审核组对申请组织所采取的纠正和纠正措施及其结果的有效性进行验证。

结果汇报 评估工作组就评估结果召开汇报会议，向申请单位相关负责人及团队汇报评估报告、不符合项及建议报告，并就结果与申请单位达成一致。对未达成一致的评估结果，评估工作组应如实记录分析，向公司申请复核。

1.6 评估决定

发证申请 评估组组长向认证决定人员提交书面评估结果， 申请证书发放。

结果复核 针对评估结果为“能力成熟度等级4：量化控制”、“能力成熟度等级5：持续优化”或有争议评估结果，组建复核工作组，开展结果复核，并给出复核结论。

证书发放 认证决定人员对于符合要求或完成复核的受审项目，颁发认证证书。

2、监督审查

对获得认证证书的组织，本机构将开展相应监督审查工作。监督审查相关要求：

1）每年度进行一次监督审核，周期不超过 12 个月；

2）若超过期限未能实施监督审核的，应按照《认证证书和标志的管理程序》对其进行管理；

3）当本机构收到关于获证组织发生重大数据安全事故或组织结构、人员等方面发生重大变更等信息或投诉，并认为需要核实的，本机构可增加现场监督审核的频次。

监督审核完成后，本机构根据监督审核情况和审核报告，作出保持、暂停或者撤销认证证书的决定。涉及证书状态变化的，需向证书持有者发出书面通知，收到被注销或撤销认证证书资格通知的组织，应于接到通知单的 5 个工作日内将证书交还至本机构。

本机构将在guanfangwangzhan上公布年度监督审核结果。

3、再评估

证书有效期三年，若获证组织申请继续持有评估证书， 则应在评估证书有效期满前三个月向公司提出再评估申请，并提交相关资料。

再评估活动的流程与初次评估相同，再评估的认证决定通过后，为获证组织换发新的认证证书。