成熟度模型-数据安全

在《信息安全技术 数据安全能力成熟度模型》中，对能力模型描述的方法非常有借鉴意义，特整理如下：

成熟度模型架构

这个架构有三个纬度：

• 安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。
• 数据安全能力成熟度等级划分为五级,具体包括:1级是非正式执行级,2级是计划跟踪级,3级是充分定义级,4级是量化控制级,5级是持续优化级。
• 数据安全过程维度 数据安全过程包括数据生存周期安全过程和通用安全过程;数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

数据安全能力成熟度等级共性特征

数据安全能力 成熟度等级	共性特征	说明
等级1: 非正式执行	执行基本实践:组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程”	随机 、无序 、被动地执行安全过程,依赖于个人经验,无法复制
等级2: 计划跟踪	规划执行:对安全过程进行规划,提前分配资源和责任。 规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理。 验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。 跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动	在业务系统级别主动地实现了安全过程的 计划与执行,但没有形成体系化
等级3: 充分定义	定义标准过程:组织对标准过程进行制度化,为组织定义标准化的 过程文档,为满足特定用途对标准过程进行裁剪。 执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。 协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制	在组织级别实现了安全过程的规范执行
等级4: 量化控制	建立可测的安全目标:为组织的数据安全建立可测量目标。 客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础	建立了量化目标,安全过程可度量
等级5: 持续优化	改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改 进规程的机会,并进行改进。 改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷 进行消除,并对规程进行持续改进	根据组织的整体目标, 不断改进和优化安全过程

级别	组织建设	制度流程	技术工具	人员能力
一级：非正式执行	仅在部分业务场景中根据临时的需求建立数据安全的岗位和人员,未形成成熟和稳定的专职/兼职的数据安全的岗位和人员。数据安全的组织建设未经严格的计划和跟踪。	仅在部分业务场景中根据临时的需求建立数据安全的制度流程,未形成成熟和稳定的数据安全制度流程,多为对特定业务需求的响应而触发。数据安全的制度流程未经严格的计划和跟踪。	仅在部分业务场景中根据临时的需求部署数据安全的技术工具,未形成成熟和稳定的技术工具来支撑数据安全工作,执行效果未经规范化的测量或验证。	从事数据安全工作的人员具备数据安全意识,但仅能支撑部分业务场景工作,人员能力未得到有效的保障。
二级：计划跟踪	基于数据安全 PA 的内容,应规划并设立规范化的数据安全岗位,该岗位人员负责制定和落实组织 机构内部的数据安全要求。 同时,对组织机构的岗位设置进行验证,并对组织建设定期进行跟踪,通过测量来检查跟踪数据安 全组织建设工作执行的状态,并建立对业务系统级别的组织建设的测量历史记录。	建立以数据为中心的数据安全制度流程,将数据安全制度流程形成标准化文档,并按规划方式执行,并使用文档化的计划、标准指导执行过程。 同时,将数据安全制度流程实施配置管理,进行版本控制和/或变更控制,并对制度流程进行验证,定期检查跟踪制度流程执行的状态,并建立对制度流程的测量历史记录。	为执行数据安全 PA 提供合适的技术工具,并基于版本控制和配置管理确保数据安全过程的自动化执行。 同时,应对技术工具进行验证,定期进行跟踪,检查技术工具的状态,并建立对技术工具的测量历史记录。	对数据安全人员规划适当的培训,使其具备数据安全风险管理知识,以及规范化执行数据安全过程的能力。 并制定人员能力的验证计划,对人员能力定期进行考核。
三级：充分定义	组织机构设立了明确的岗位和人员,实现对数据安全人员的角色及其职责分配,并建立完备有效的 工作考核机制。 数据安全人员主要负责建立有效的数据安全保护机制,包括但不限于建立组织机构统一的安全管 理策略、制度和流程,并提供面向组织机构整体的技术标准解决方案。 该岗位的数据安全人员与具体数据安全过程相关的部门(如业务部门、法律部门等),以及与组织机 构外部共同合作,建立有效的沟通和推进机制,保证数据安全组织建设相关标准的统一执行。	参考相关的安全管理体系,建立了适用于组织机构自身的与数据安全过程相关的制度流程。包括 但不限于:与组织机构结构和数据业务相一致的安全策略、具有明确管控要求的制度、用于相关管控要 求流程、指导整体工作执行的实施指南等。 同时,组织机构针对数据安全相关制度流程建立标准的培训和宣传方案,保证与具体数据安全过程 相关的人员在对制度流程的理解上的一致性,并针对制度流程进行专门的缺陷复查和规避。 数据安全的制度流程能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之 间以统一的标准来进行数据安全保障。	建立数据安全过程相关的在线化技术工具,固化并记录相关的流程。在组织机构内部建设、部署数据安全技术产品,强化安全控制,并基于具体的业务场景实现了对数据安全技术产品的有效运营,以保证产品功能对组织机构的业务场景的适用性。 数据安全的技术工具应能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之间以统一的标准来实现数据安全保障。	数据安全人员应具备数据安全资质和工程实践经验,充分理解组织机构在具体数据安全过程中面临的安全风险,具备风险控制和改进方案的能力,能够有效执行已定义的数据安全过程,并通过考核、复查和培训等方式,对能力上的不足进行补齐。 数据安全人员能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之间以统一的标准来实现数据安全保障。
四级：量化控制	组织机构应明确定量的数据安全保障要求,将安全目标分解落实到数据安全相关的岗位职责中,以利于安全目标的可测量、可执行。	在制度流程中制定收集和评估数据的方法,对各项数据安全工作的执行情况及其效果进行客观的评估。 当制度流程未按定义执行时,识别出现偏差的原因,并制定出适当的纠正、预防措施,提出何时和采取何种修正行动,从而反馈到相关制度流程的内容修订上。	根据定量的安全目标,对技术工具提出相应的功能和性能需求。 在已有的技术工具的基础上实现对关键数据安全能力的量化控制。 技术工具应支持在数据的各生存周期过程中自动化采集数据和评估,并对评估结果进行展示。 当技术工具未按定义执行时,识别出现偏差的原因,从安全要求、工具执行的有效性方面进行持续的跟踪和效果评估,从而反馈到相关技术工具的完善和更新上。	对数据安全人员能力建立量化的衡量指标,定期进行考核、培训等。 岗位的数据安全人员应具备客观地量化执行数据安全工作的意识,具备采用相关方法和工具开展数据安全工作的能力。
五级：持续优化	能够分析和消除组织架构的设置上的不足,通过分析与国内外领先的数据安全管理理念的差距,提 出对组织架构的可能改进目标,并持续改进组织架构的设置,进行及时调整以促进业务发展。	持续跟踪数据安全管理领域的最佳实践和业务的最新动向,预先判断业务在数据安全领域所面临对制度流程进行持续监控,并对制度流程的执行效果进行有效性评价,分析并消除制度流程上的缺的风险,并在制度流程上进行持续性的优化,从而提高过程有效性。 并提出持续改进的制度流程。	能够分析技术工具执行效果上的不足,建立改进目标,标识出对技术工具的改进点,分析对技术工具的可能变更。 基于数据安全技术的最新进展以及组织机构积累的数据安全技术能力,结合业务发展的实际情况引入先进的技术工具提升数据安全控制的有效性。	能够分析人员能力上的不足,标识出对人员能力的改进点,建立改进目标,开展人员培训等。 密切关注国内外最新的数据安全标准,加强行业领域内的专家交流,结合本组织机构的特点合理优化并组织机构内的数据安全解决方案。