能力成熟度等级的评估流程

分析需要保护的数据资产及业务范围，确定模型使用或评估范围。

分析组织机构数据安全风险，确定能力成熟度等级建设目标。

针对组织机构的数据相关的业务现状，选取适当的数据安全PA。例如对于有的组织机构而言，不存在数据对外共享的处理，则无需选择共享安全的PA。

依据标准对各等级数据安全BP要求，从4个关键能力进行落地和不断改进提升。

基于选择的安全PA范畴，针对各项安全PA对组织机构的数据安全实践情况进行现状的调研和分析。按各级别的通用实践（GP）描述确定该PA的等级。

结合所有PA的等级，确定组织机构整体的数据安全能力成熟度等级，对数据安全能力进行持续建设和改进。

关键能力的评估方法

评估是否具有开展工作的专职/兼职岗位、团队或人员，其工作职责是否通过规范要求或其他手段得到确认和保障。

检查是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况。

检查组织机构内的各项安全技术手段，通过产品工具固化安全要求或自动化的安全作业的实施运作情况。

执行数据安全工作的人员是否经过专业的技能和安全意识教育培训。

评估方式

DSMM的评估所采用的方式与基线风险评估的方式类似，可以包括但不限于以下几种手段：

通过访谈的方式与被评估方进行交流、讨论等活动，获取相关证据，了解有关信息。

由被评估方输入与数据安全相关的文档材料（如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单），评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项。

根据被评估方提供的技术材料，登录相关的系统工具平台，检查配置是否与材料保持一致，对文档审核内容进行核实。

利用技术工具对系统工具进行测试，验证是否符合数据安全成熟度模型特定等级的技术能力要求。

评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。