2022数据管理能力成熟度评估程序规则
数据管理能力成熟度评估 程序规则 2022版 数据管理能力成熟度评估程序规则 第 1 页 数据管理能力成熟度评估程序规则 目 录 1. 总 则 .3 2. 申请方基本要 求 3 3. 申请方的权利和义 务 3 4. 评估程序与要 求 4 5. 获证组织名 录 8 6. 获证组织的权利、义务和标志的使 用9 7. 证书管 理 9 8. 投诉和申 诉 9 9. 附 则 .10 第 2 页 数据管理能力成熟度评估程序规则 1. 总则 1.1 目的 为使申请方/受评估方/获证组织全面了解xxxx认证中心服务有限公司 (以下简称本中心)受理并实施数据管理能力成熟度评估(以下简称DCMM 评 估)的全过程,便于本中心有序、有效地开展DCMM 评估工作,特制定本程序 规则。 1.2 适用范围 本程序规则适用于本中心开展的 DCMM 评估工作,可为申请方/受评估方/ 获证组织进行DCMM 评估提供指导。 1.3 评估主要依据文件 GB T 36073-2018 《数据管理能力成熟度评估模型》 1.4 评估其它依据文件 中国电子信息行业联合会《数据管理能力成熟度评估工作管理办法(暂行)》 1.5 术语说明 根据评估过程的变化,本程序规则 申请DCMM 评估的组织使用了 称 申请方 DCMM 评估 。 受评估方 评估过程中 获证 。 获证组织 获 DCMM 评估证书 。 2. 申请方基本要求 1)中 和国 的 法 。 2) 中 有 法、 规 信用¡录。 3)¢£GB T 36073-2018 《数据管理能力成熟度评估模型》⁄¥的数据管 理能力,并能提供ƒ§数据管理能力要求的currency1实 、适“ 和有效 证据。 4)«‹并›fi行业公fl,认 中国电子信息行业联合会《数据管理能力成 熟度评估工作管理办法(暂行)》 –†管理办法。 3. 申请方的权利和义务 第 3 页 数据管理能力成熟度评估程序规则 3.1 申请方的权利 1)‡· ¶本中心为评估•‚。 2)与本中心„”»定评估…用的模‰标 和评估¿ 。 3) `´评估的 ˆ、评估˜程¯˘有˙¨¿,与本中心„”解 。 4)有权 本中心的DCMM 评估 提˚申诉/投诉和˙¨。 3.2 申请方的义务 1)¸本中心要求提 申请文件 其附件。 2)为本中心提供˝证评估工作˛利进行ˇ要的—、 、行 办公 件。 3)为本中心评估组进 评估 、 文件¡录、¯˘ ˆ 提供 ˇ要的 件。适用¿,为 的 ˆ提供 件。 4)˝ Æ和/ –†方ª获证组织的 、 服务⁄提˚的⁄有投诉 ¡录,信息 ¡录 – ŁØŒ施¡录,并º本中心要求¿提供。 要投诉 ¿ 本中心。 5) 服务 æ ¿ 本中心,服务 æ 可能 ı 国ł¯全、ø会œ序、公 利ß Æ 其–†方的合法权ß 可能 证•‚ 主管 门的公信力、声誉, 使 证•‚ 主管 门«担连带责任。 6)¸规定 ¿缴纳评估费用。 7)申请方有责任˝持并评价法律法规要求的符合 。 4. 评估程序与要求 评估 以下 容 申请、评估策划、资料收集与解读、现 评估、评 估 告编写、技术委ˆ会评审以 归档管理 。 4.1 申请 »认申请意向 ,申请方需向本中心综合 提 DCMM 评估申请书 评估 合 书,综合 组织合 评审,合 评审 容 1)合 书中阐¥各项要求是否明»与合理 2)申请组织要求评估的级别是否º可评估范围 3)申请组织评估申请书、合 书 填写信息是否完整 4)申请组织是否为中 和国 的 法 5)申请组织近三年 是否存º 信用¡录(需º国ł企业信用信息公示 第 4 页 数据管理能力成熟度评估程序规则 系统核实(http://gsxt.saic.gov.cn/) 。 评审 过的合 由市 拓展 负责签订。 4.2 评估策划 4.2.1 评估组的¯˘ 本中心 ¶¢£–†能力的评估 ˆ组成评估组,ˇ要¿可以聘请技术专 ł`´评估组工作。评估组实行组长负责制,评估组组长 由主任评估师担任。 评估组成ˆ接 任务 , 核实该评估任务是否与‡己 利ß冲突,如果有冲 突 ¿反馈 度 ˆ, 换评估组成ˆ。 技术专ł主要负责提供能力评估的技术支持, 作为评估 ˆ实施能力评 估, 计 评估¿ ,其º评估过程中的 由评估组中的评估 ˆ«担责任。 评估组可以有助理评估师,其 º主任评估师 评估师的指导下`与评估, 计 评估¿ , ˚¢¡录 评估文件,其º评估过程中的 由评估组 中的主任评估师 评估师«担责任。 4.2.2 »定评估目标 评估组组长需了解申请方的业务需求与目标,并进一步了解申请方的数据管 理基本情况,„助申请方负责 »定评估目的 目标 级。 4.2.3 »定评估范围 评估组组长基于 申请方的了解»定评估范围,评估范围 常是º组织中涉 数据 存周期各阶段管理 的 门。 4.2.4 编制评估计划 本中心 为每次评估制定书面的评估计划,由评估组长负责。评估组长 ¿与申请方联系,˝证计划的适“ 和可操作 。评估计划至少 以下 容 申请组织名称、评估地点、评估目的、评估 则/依据、评估组成ˆ、评估˜期 和˜程¯˘ 。 为使现 评估能够覆盖申请方的数据管理 ,现 评估须¯˘º申请方的 数据管理职责 门⁄º地进行。 º现 评估开始 ,评估组 将评估计划 申请方»认,如遇特殊情况临¿ 变更评估计划¿, ¿将变更情况 知申请方,并„”一致。 第 5 页 数据管理能力成熟度评估程序规则 4.3 资料收集与解读 4.3.1 资料收集 评估组组长 向受评估方 送《资料收集清 》,该清 依据 DCMM 标 容列明–†`考资料。受评估方依据该清 ,组织– ˆ查找、收集和整理 Æ 证据,并将Æ 证据与DCMM 的标 款进行匹配。常见的Æ 证据 常 是以下三类 1)组织 门层面的数据管理制度、规定、规范、标 和 则 。 2)数据管理工作过程中 的过程文档。 3)数据管理系统/平台/工¢。 评估组 ›fi受评估方的˝密要求,如Æ 证据涉 敏感 ˝密信息, 要 求受评估方根据–†要求 材料进行脱敏处理 如受评估方 便提供¿,评估组 要求受评估方 £可现 查 的 证材料。 4.3.2 资料解读 评估组组长º接收 资料 ,可根据受评估方的规模和评估组 ˆ数 成 的 组,每 组可负责 的能力 的资料解读 其 方‰合理 工。评 估组成ˆ 根据标 款 受评估方提 的资料进行 ,»˝资料的Ø» 和 。评估组成ˆº资料解读期 现 ¿, 与受评估方 。 4.4 现 评估 评估组 ¸ 评估计划的¯˘完成现 评估工作。 可 见的特殊情况 ,评估过程中 更换评估计划»定的评估 ˆ。 4.4.1 次会¨ 现 评估开始¿,评估组长 主持 开 次会¨,向受评估方有†负责 说明评估计划、评估程序、方法、评估的可能 果、 反法律法规和其它要求的 处理、 符合类型 ˝密«‹ 。`会 ˆ 签 ,评估组 ˝ 次会¨签 。 4.4.2 现 评估 现 评估是 企业数据管理情况与GB/T 36073-2018《数据管理能力成熟 度评估模型》标 要求的符合度 进行的评估 。实施评估的方法 限 于 审查文件和¡录、 数据管理过程和 、 ˆ 。评估组…用文件查 第 6 页 数据管理能力成熟度评估程序规则 、面 、 方法获 评估证据,并核实评估证据的 、适“ 、 currency1实 和有效 ,¡录现 评估的Æ 证据。 现 评估如遇情况变化,由评估组长 ¢ 情况¸本中心的要求进行„ 处理、 变计划,并将变化情况 ¡录。 于涉 变更,评估组长需 知 本中心负责 作˚ 定。 评估组根据˜程¯˘, 受评估方进行评估¿,要求¯˘现 „ ˆ,以 利于评估工作的˛利实施。 于评估组 能»认的证据可… 查核 的方‰ »认。现 评估要 资料评审中提˚的 进行 证,并¡˚–†¡录。 ¢现 评估 现有 要£ 符合标 要求,使 申请组织申请的目标能力 级 能实现¿,评估组长 ⁄向本中心 告评估 现的 , 与申请组织管 理层 ,作˚¥ƒ申请能力 级的 定。 由于申请组织的§currency1, 配合评估组评估工作的,评估组长 ⁄向本中 心 告现 情况, 与申请组织管理层 ,¡˚“«评估的 定,并向申请组 织说明“«的理由。 4.4.3 评估 现 评估组 综合评估实施过程中的各项 果,整理º组织 现的与 DCMM 标 款 符合的 。评估组 ⁄ 评估 现‹成一致的意见,› 与申 请组织 fi步 现的 ,并获 申请组织的»认。 评估组成ˆºfi步 现 , 申请组织提供的fl证据进行 次审查, 组 –fl证据并»认是否有效。¢fl证据有效, 基于fl证据 整评估 现。 »认评估 现 ,评估组 根据资料评审和现 评估 果进行综合评价, ˚† ‡ –。 4.4.4 成熟度定级 »认评估 现 ,评估组 组织的数据管理能力成熟度进行定级。评估· 各 组 ⁄ 负责的能力 进行¶ , »认 提 至评估组组长处进行 整合,评估组长进行综合能力 级定级,向⁄有成ˆ展示 果并获 »认。 4.4.5 编写评估†‡ 意见 评估组基于现 评估的 果,填写评估†‡ 意见 。评估†‡ 意见 评估组؉评估的†‡ 级以 评估 现的•项和‚¨项。评估组⁄有成 第 7 页 数据管理能力成熟度评估程序规则 ˆ、申请组织负责 和申请组织„层管理”» º该意见 …签‰ 示 以… 果的认可。 4.4.6 次会¨ 现 评估 ¿¿,评估组长 主持 开 次会¨,向受评估方有†负责 阐 ¥综合能力 级、各能力 与各能力项的 级 提˚ 项/‚¨项 明»†‡ 意见 告知申 项和 证的`程 告知如获 证书 , 期换证、变更 的要求,投/申诉´ˆ 。`会 ˆ 签 ,评估组 ˝ 次会¨签 。 4.5 评估 告编写 由评估组长 评估组长指定 ˆ¸本中心的要求和规定编制《评估 告》。 《评估 告》⁄有信息 Ø»、 »、 ¥清˜。一¯情况下 º现 评估 ˘ 周 完《评估 告》的编制。《评估 告》ˇ须由评估组长签˙评估意见, 技 术委ˆ会评审,•‚盖¨ , 申请组织。 4.6 技术委ˆ会评审 评估组负责收集与评估任务–†的支持文件和¡录、 告 ,送本中心技术 委ˆ会评审。技术委ˆ会将¡˚ 以†‡ 以†‡的评估 –。本中心将受 评估方评估 告和–†评估材料信息提 DCMM评估工作 , 专ł评¨ ¡ ˚ 意˚ 证书、 意¥级˚ 证书 意˚ 证书的¸“评估 –,并£ 。 申请组织存º以下情况的,本中心能力评估技术委ˆ会将评定申请组织 符 合能力评估要求,并告知申请组织˝ 过能力评估的§currency1。 1)申请组织的数据管理 系有 ˛ˇ,ı 符合GB/T 36073-2018 《数 据管理能力成熟度评估模型》标 的要求。 2)申请组织的申请材料存º—实 情况。 4.7 证书 过中国电子信息行业联合会DCMM评估工作 核 评¨, 公示 ˙¨的,本中心 过评估工作管理平台获 证书–†信息。 本中心综合 负责证书的制作,证书带有DCMM能力评估统一标 ,证书 有效期为3年。综合 负责证书的 , ¿附…《获证企业的权利、义务和证 书、标志使用说明》文件,以˝证将证书和标志使用范围告知获证组织。 5. 获证组织名录 第 8 页 数据管理能力成熟度评估程序规则 中国电子信息行业联合会 过评估工作管理平台公 获证组织名录。获证 组织名称、获 的能力级别、证书编 、 证˜期、有效期 信息列 获证组织 名录。 中国电子信息行业联合会将定期更fl该名录,ø会公 可º中国电子信息 行业联合会评估工作管理平台的 获 获证组织信息, 接向本中心综合 查 (查 电 4008301909)–†获证组织情况。 6. 获证组织的权利、义务和标志的使用 获证组织¢有使用能力评估证书和标志的权利。能力评估证书获 ,获证 组织可向公 展示本中心 的能力评估证书 标志,以证实获证组织¢£了一 定级别的数据管理能力, ›fi本中心和国ł–†法规的–†规定。 7. 证书管理 证书有效期为3年,有效期ƒ¿‡ 作 。¢组织提˚ 评估申请, 评 估 过 , fl证书。 评估`程与fi次评估– 。 证书有效期 ,¢获证组织 反《数据管理能力成熟度评估工作管理办法(暂 行)》 –†规定,中心将¸ 中国电子信息行业联合会DCMM评估工作 规 定的`程 证书进行暂 、 Æ、 Æ 处理。证书 Æ ,由本中心 知获证组织,如获证组织有˙¨,可向DCMM评估工作 提˚ ¨, ¨ 果 由本中心告知获证组织。 证书有效期 ,如 证书¡ 项一¯ 变更,获证组织 º变更 ˜ª30˜ ,向本中心提 证书变更申请 –†证明材料。 如获证组织 、合并 组 变更, º变更 ˜ª90˜ , 向本中心提 变更申请 –†材料,本中心需进行 变更 项现 评估。 核实 换 证书,并更fl–†信息。 证书有效期 ,获证组织 —证书, ¸要求 —声明,向本中心提 证书 — 申请, 核实 证书。 评估过程 证书–†信息,中心将¸ DCMM评估工作 本中心–†规 定,º评估工作管理平台 本中心 公开。评估证书限于获证组织使用, « ŁØ、ŁŒ和º 。 8. 投诉和申诉 第 9 页 数据管理能力成熟度评估程序规则 申请方/受评估方/获证组织º 本中心的 –、行为、 定 有˙¨¿,可 公平地提˚,并¢有投/申诉的权利。本中心申/投诉处理程序可向本中心综合 。申请方/受评估方/获证组织 可¸ 《数据管理能力成熟度评估工作管理 办法(暂行)》 –†规定,向中国电子信息行业联合会进行投/申诉 9. 附则 本程序规则‡ ˜ª实施。 第 10 页