成熟度模型-數據安全

在《信息安全技術 數據安全能力成熟度模型》中，對能力模型描述的方法非常有借鑒意義，特整理如下：

成熟度模型架構

這個架構有三個緯度：

• 安全能力維度明確了組織在數據安全領域應具備的能力,包括組織建設、制度流程、技術工具和人員能力。
• 數據安全能力成熟度等級划分為五級,具體包括:1級是非正式執行級,2級是計划跟蹤級,3級是充分定義級,4級是量化控制級,5級是持續優化級。
• 數據安全過程維度 數據安全過程包括數據生存周期安全過程和通用安全過程;數據生存周期安全過程具體包括:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全6個階段。

數據安全能力成熟度等級共性特征

數據安全能力 成熟度等級	共性特征	說明
等級1: 非正式執行	執行基本實踐:組織在數據安全過程中不能有效地執行相關工作,僅在部分業務執行過程中根據臨時的需求執行了相關工作,未形成成熟的機制保證相關工作的持續有效進行,執行相關工作的人員未達到相應能力。所執行的過程稱為“非正式過程”	隨機 、無序 、被動地執行安全過程,依賴於個人經驗,無法復制
等級2: 計划跟蹤	規划執行:對安全過程進行規划,提前分配資源和責任。 規范執行:對安全過程進行控制,使用執行計划、執行基於標准和程序的過程,對數據安全過程實施配置管理。 驗證執行:確認過程按預定的方式執行,驗證過程的執行與計划是一致的。 跟蹤執行:控制數據安全過程執行的進展,通過可測量的計划跟蹤過程的執行,當過程實踐與計划產生重大偏離時采取修正行動	在業務系統級別主動地實現了安全過程的 計划與執行,但沒有形成體系化
等級3: 充分定義	定義標准過程:組織對標准過程進行制度化,為組織定義標准化的 過程文檔,為滿足特定用途對標准過程進行裁剪。 執行已定義的過程:充分定義的過程是可重復執行的,並使用過程執行的結果數據,對有缺陷的過程結果和安全實踐進行核查。 協調安全實踐:確定業務系統內、各業務系統之間、組織外部活動的協調機制	在組織級別實現了安全過程的規范執行
等級4: 量化控制	建立可測的安全目標:為組織的數據安全建立可測量目標。 客觀地管理執行:確定過程能力的量化測量,使用量化測量管理安全過程,並以量化測量作為修正行動的基礎	建立了量化目標,安全過程可度量
等級5: 持續優化	改進組織能力:在整個組織范圍內對規程的使用進行比較,尋找改 進規程的機會,並進行改進。 改進過程有效性:制定處於持續改進狀態下的規程,對規程的缺陷 進行消除,並對規程進行持續改進	根據組織的整體目標, 不斷改進和優化安全過程

級別	組織建設	制度流程	技術工具	人員能力
一級：非正式執行	僅在部分業務場景中根據臨時的需求建立數據安全的崗位和人員,未形成成熟和穩定的專職/兼職的數據安全的崗位和人員。數據安全的組織建設未經嚴格的計划和跟蹤。	僅在部分業務場景中根據臨時的需求建立數據安全的制度流程,未形成成熟和穩定的數據安全制度流程,多為對特定業務需求的響應而觸發。數據安全的制度流程未經嚴格的計划和跟蹤。	僅在部分業務場景中根據臨時的需求部署數據安全的技術工具,未形成成熟和穩定的技術工具來支撐數據安全工作,執行效果未經規范化的測量或驗證。	從事數據安全工作的人員具備數據安全意識,但僅能支撐部分業務場景工作,人員能力未得到有效的保障。
二級：計划跟蹤	基於數據安全 PA 的內容,應規划並設立規范化的數據安全崗位,該崗位人員負責制定和落實組織 機構內部的數據安全要求。 同時,對組織機構的崗位設置進行驗證,並對組織建設定期進行跟蹤,通過測量來檢查跟蹤數據安 全組織建設工作執行的狀態,並建立對業務系統級別的組織建設的測量歷史記錄。	建立以數據為中心的數據安全制度流程,將數據安全制度流程形成標准化文檔,並按規划方式執行,並使用文檔化的計划、標准指導執行過程。 同時,將數據安全制度流程實施配置管理,進行版本控制和/或變更控制,並對制度流程進行驗證,定期檢查跟蹤制度流程執行的狀態,並建立對制度流程的測量歷史記錄。	為執行數據安全 PA 提供合適的技術工具,並基於版本控制和配置管理確保數據安全過程的自動化執行。 同時,應對技術工具進行驗證,定期進行跟蹤,檢查技術工具的狀態,並建立對技術工具的測量歷史記錄。	對數據安全人員規划適當的培訓,使其具備數據安全風險管理知識,以及規范化執行數據安全過程的能力。 並制定人員能力的驗證計划,對人員能力定期進行考核。
三級：充分定義	組織機構設立了明確的崗位和人員,實現對數據安全人員的角色及其職責分配,並建立完備有效的 工作考核機制。 數據安全人員主要負責建立有效的數據安全保護機制,包括但不限於建立組織機構統一的安全管 理策略、制度和流程,並提供面向組織機構整體的技術標准解決方案。 該崗位的數據安全人員與具體數據安全過程相關的部門(如業務部門、法律部門等),以及與組織機 構外部共同合作,建立有效的溝通和推進機制,保證數據安全組織建設相關標准的統一執行。	參考相關的安全管理體系,建立了適用於組織機構自身的與數據安全過程相關的制度流程。包括 但不限於:與組織機構結構和數據業務相一致的安全策略、具有明確管控要求的制度、用於相關管控要 求流程、指導整體工作執行的實施指南等。 同時,組織機構針對數據安全相關制度流程建立標准的培訓和宣傳方案,保證與具體數據安全過程 相關的人員在對制度流程的理解上的一致性,並針對制度流程進行專門的缺陷復查和規避。 數據安全的制度流程能夠協調業務系統內、組織機構的不同業務系統之間,以及與組織機構外部之 間以統一的標准來進行數據安全保障。	建立數據安全過程相關的在線化技術工具,固化並記錄相關的流程。在組織機構內部建設、部署數據安全技術產品,強化安全控制,並基於具體的業務場景實現了對數據安全技術產品的有效運營,以保證產品功能對組織機構的業務場景的適用性。 數據安全的技術工具應能夠協調業務系統內、組織機構的不同業務系統之間,以及與組織機構外部之間以統一的標准來實現數據安全保障。	數據安全人員應具備數據安全資質和工程實踐經驗,充分理解組織機構在具體數據安全過程中面臨的安全風險,具備風險控制和改進方案的能力,能夠有效執行已定義的數據安全過程,並通過考核、復查和培訓等方式,對能力上的不足進行補齊。 數據安全人員能夠協調業務系統內、組織機構的不同業務系統之間,以及與組織機構外部之間以統一的標准來實現數據安全保障。
四級：量化控制	組織機構應明確定量的數據安全保障要求,將安全目標分解落實到數據安全相關的崗位職責中,以利於安全目標的可測量、可執行。	在制度流程中制定收集和評估數據的方法,對各項數據安全工作的執行情況及其效果進行客觀的評估。 當制度流程未按定義執行時,識別出現偏差的原因,並制定出適當的糾正、預防措施,提出何時和采取何種修正行動,從而反饋到相關制度流程的內容修訂上。	根據定量的安全目標,對技術工具提出相應的功能和性能需求。 在已有的技術工具的基礎上實現對關鍵數據安全能力的量化控制。 技術工具應支持在數據的各生存周期過程中自動化采集數據和評估,並對評估結果進行展示。 當技術工具未按定義執行時,識別出現偏差的原因,從安全要求、工具執行的有效性方面進行持續的跟蹤和效果評估,從而反饋到相關技術工具的完善和更新上。	對數據安全人員能力建立量化的衡量指標,定期進行考核、培訓等。 崗位的數據安全人員應具備客觀地量化執行數據安全工作的意識,具備采用相關方法和工具開展數據安全工作的能力。
五級：持續優化	能夠分析和消除組織架構的設置上的不足,通過分析與國內外領先的數據安全管理理念的差距,提 出對組織架構的可能改進目標,並持續改進組織架構的設置,進行及時調整以促進業務發展。	持續跟蹤數據安全管理領域的最佳實踐和業務的最新動向,預先判斷業務在數據安全領域所面臨對制度流程進行持續監控,並對制度流程的執行效果進行有效性評價,分析並消除制度流程上的缺的風險,並在制度流程上進行持續性的優化,從而提高過程有效性。 並提出持續改進的制度流程。	能夠分析技術工具執行效果上的不足,建立改進目標,標識出對技術工具的改進點,分析對技術工具的可能變更。 基於數據安全技術的最新進展以及組織機構積累的數據安全技術能力,結合業務發展的實際情況引入先進的技術工具提升數據安全控制的有效性。	能夠分析人員能力上的不足,標識出對人員能力的改進點,建立改進目標,開展人員培訓等。 密切關注國內外最新的數據安全標准,加強行業領域內的專家交流,結合本組織機構的特點合理優化並組織機構內的數據安全解決方案。