1、 信息安全技術數據安全能力成熟度模型范圍本標準基于大數據環境下電子化數據在組織機構業務場景中的數據生命周期,從組織建設、制度流程、技術工具以及人員能力四個方面構建了數據安全過程的規范性數據安全能力成熟度分級模型及其評估方法。本標準適用于組織機構數據安全能力的自身評估,也適用于第三方機構對組織機構的數據安全保障能力進行評估。規范性引用文件下列文件對于本文件的應用是必不可少的.凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語GB/T20261-2006信息安全技術系統安全工程能力成熟

2、度模型GB/TAAAAAAAAA信息技術大數據術語GB/TBBBBBBBBB信息技術大數據參考框架GB/TCCCCC-CCCC信息安全技術個人信息安全規范GB/TDDDDDDDDD信息安全技術大數據服務安全能力要求GB/TEEEEE-EEEE信息技術數據管理能力成熟度模型術語、定義和縮略語GB/T250692010中界定的以及下列術語和定義適用于本文件。術語和定義3.1.1數據安全datasecurity以數據為中心的安全，保護數據的可用性、完整性和機密性。注：本標準是從組織建設、制度流程、技術工具以及人員能力等方面對組織機構的數據進行安全保護.數據安全能力datasecuritycapabi

3、lity組織機構在組織建設、制度流程、技術工具以及人員能力等方面對數據的安全保障能力.3.1.3成熟度maturity對一個組織的有條理的持續改進能力的度量,對實現特定過程的連續性、可持續性、有效性和可信度的度量。3.1.4成熟度模型maturitymodel對一個組織機構的成熟度進行度量的模型，包括一系列的代表能力和進展的特征、屬性、指示或是模式.模型的內容通常是最佳實踐的舉例說明.成熟度模型提供一個組織機構衡量其當前的實踐、流程、方法的能力水平的基準，并設置提升的目標和優先級.當一個模型被廣泛應用于某個特定的行業,這個行業可以基于模型，來評估本行業的組織機構的成熟度等級。3.1.5組織機構

4、organization安排了責任、權利和關系的一組人員和設施。3.1.6安全過程域securityprocessarea實現同一安全目標的一系列數據安全相關活動、過程的集合。3.1.7數據脫敏datadesensitization通過模糊化等方法對原始數據的處理，達到屏蔽敏感信息的一種數據保護方法。3.1.8數據產品dataproduct直接或間接使用數據的產品，包括但不限于能訪問原始數據，提供數據計算、數據存儲、數據交換、數據分析、數據挖掘、數據展示等應用的軟件產品。3.1.9數據加工dataprocessing對原始數據進行抽取、轉換、加載的過程；包括開發數據產品或數據分析。3.1.10

5、合規compliance對數據所適用的法律法規的遵循.縮略語下列縮略語適用于本標準：ACL訪問控制列表(AccessControlList)CMM能力成熟度模型(CapabilityMaturityModel)DDOS分布式拒絕服務(DistributedDenialofService)DLP數據防泄漏(DataLossPrevetion)TLS傳輸層安全(TransportLayerSecurity)SSL安全套接層(SecureSocketsLayer)數據安全能力成熟度模型架構模型架構本標準借鑒能力成熟度模型(CMM)的思想，以CMM的通用實踐來衡量能力成熟度等級，以信息安全技術大數據服

6、務安全能力要求中的安全要求為基礎，指導組織機構如何持續達到所對應的安全要求。數據安全能力成熟度模型的模型架構由以下三方面構成(如圖1所示)：數據生命周期安全：圍繞數據生命周期，提煉出大數據環境下,以數據為中心，針對數據生命周期各階段建立的相關數據安全過程域體系。安全能力維度：明確組織機構在各數據安全領域所需要具備的能力維度，明確為制度流程、人員能力、組織建設和技術工具四個關鍵能力的維度.能力成熟度等級:基于統一的分級標準，細化組織機構在各數據安全過程域的5個級別的能力成熟度分級要求。2級:計劃跟蹤1級:非正式執行m級:充分定義5級:持續優化4級;量化控制曙采皐全儲安全屢全能右度等級圖1數據安全

7、能力成熟度模型架構對于圖1的模型架構的說明如下：1）基于電子數據在組織機構內的數據生命周期,明確定義各階段特定的數據安全過程域和數據生命周期通用的安全過程域。各階段特定的數據安全過程域，包括數據采集、數據存儲、數據傳輸、數據處理、數據交換和數據銷毀這六個階段中，各階段特定的數據安全過程域。數據生命周期通用的安全過程域，是與各個生命周期都相關的，通用的數據安全過程域，比如策略與規程、合規性管理等方面。2）本標準對組織機構的數據安全保障能力的成熟度的分級評估,是基于各成熟度等級下的數據安全能力通用實踐所定義的分級評估方法，對各階段特定的數據安全基本實踐和數據生命周期通用的安全基本實踐的實現的成熟度

8、等級進行評估。數據生命周期安全數據生命周期基于大數據環境下數據在組織機構業務中的流轉情況，定義了數據生命周期的6個階段,具體各階段的定義如下:數據采集：指新的數據產生或現有數據內容發生顯著改變或更新的階段。對于組織機構而言，數據的采集既包含在組織機構內部系統中生成的數據也包含組織機構從外部采集的數據。數據存儲：指非動態數據以任何數字格式進行物理存儲的階段。數據處理：指組織機構在內部針對動態數據進行的一系列活動的組合.數據傳輸：指數據在組織機構內部從一個實體通過網絡流動到另一個實體的過程。數據交換：指數據經由組織機構內部與外部組織機構及個人交互過程中提供數據的階段。數據銷毀：指通過對數據及數據的

9、存儲介質通過相應的操作手段，使數據徹底丟失且無法通過任何手段恢復的過程。特定的數據所經歷的生命周期由實際的業務場景所決定，并非所有的數據都會完整的經歷六個階段。數據安全過程域體系安全過程域體系覆蓋數據生命周期的六個階段,包含各生命周期階段通用的安全過程域和各生命周期階段下的安全過程域，如圖2所示。數據生命周期各階段安全數搖分類加&數據采卿爾，數據清選、轉站w質試監控姻砂砸密文數秦處理數據傳輸安全管理F存楠架構卄分布式處理安至-邏輯存儲訪問控制數秦訓本數碧s檔囲時效性ms確接口數摘資產喙統遙產亍人信息保護重要數據保護畫碼支持策略與規程數據安全策晡與規程圖2數據安全過程域體系數據交換安全數瞬毀安全

10、數據導入導出安全數據共亭安全數據攬布安全數據交換嶷”介質使用艇數據捎強處賈弁質鎖盟處賈數據址理安全舸和人員管理認員營理誦色管理人員培訓戰略規劃需求分析*元數拒養全生命周期通用安全4.3安全能力維度能力構成通過對各項安全過程所需具備安全能力的量化,可供組織機構評估每項安全過程的實現能力.安全能力從組織建設、制度流程、技術工具及人員能力四個維度展開。組織建設:數據安全組織機構的架構建立、職責分配和溝通協作.制度流程：組織機構關鍵數據安全領域的制度規范和流程落地建設。技術工具：通過技術手段和產品工具固化安全要求或自動化實現安全工作.人員能力：執行數據安全工作的人員的意識及專業能力。組織建設從承擔數據

11、安全工作的組織機構建設應具備的能力出發，從以下方面進行能力的級別區分:數據安全組織架構對組織業務的適用性；數據安全組織機構承擔的工作職責的明確性；數據安全組織機構運作、溝通協調的有效性。制度流程從組織機構在數據安全層面的制度流程建設，以及制度流程的執行情況出發，從以下維度進行能力的級別區分：數據生命周期關鍵控制節點授權審批流程的明確性；相關流程制度的制定、發布、修訂的規范性；安全要求及流程落地執行的一致性和有效性.技術工具從組織機構用于開展數據安全工作的安全技術、應用系統和自動化工具出發，從以下維度進行能力的級別區分：數據安全技術在數據全生命周期過程中的利用情況，針對數據全生命周期安全風險的檢

12、測及響應能力;利用技術工具對數據安全工作的自動化支持能力，對數據安全制度流程的固化執行能力.人員能力從組織機構內部承擔數據安全工作的人員應具備的能力出發，從以下維度進行能力的級別區分：數據安全人員所具備的數據安全能力是否能夠滿足復合型能力要求（對數據相關業務的理解力以及專業安全能力）;數據安全人員的數據安全意識以及關鍵數據安全崗位員工的數據安全能力的培養。4.4成熟度等級定義組織機構的數據安全能力成熟度模型具有5個成熟度等級，成熟度等級的定義如下：等級1（非正式執行），是指具備隨機、無序、被動的安全過程；等級2（計劃跟蹤），是指具備主動、非體系化的安全過程；等級3（充分定義）,是指具備正式的規

13、范的安全過程;等級4（量化控制），是指安全過程可量化；等級5（持續優化），是指安全過程可持續優化。數據安全能力通用實踐能力級別1-非正式執行能力等級描述在這一級別，數據安全過程域的基本實踐通常被執行。但基本實踐的執行可能未經嚴格的計劃和跟蹤,而是基于個人的知識和努力。組織機構內的個人可標識出一個數據安全過程應被執行,并同意這個數據安全過程會在需要時執行。該能力級別包含如下公共特征：公共特征1.1執行基本實踐。公共特征1。1-執行基本實踐公共特征描述此公共特征的通用實踐只是保證過程域的基本實踐以某種方式執行.但是,數據安全管理的一致性、性能和質量會因缺乏適當控制而存在極大的差異.組織機構在數據安

14、全過程域未有效的執行相關工作，僅在部分業務場景中/項目執行過程中根據臨時的需求執行了相關工作，卻未形成成熟的機制保證相關工作的持續有效進行，執行相關工作的人員能力也未得到有效的保障.所執行的過程可稱為“非正式過程”。組織建設未針對數據安全過程域的工作開展建立數據安全相關的團隊/崗位和職責。制度流程未建立與數據安全過程域相關的數據安全工作相關的制度流程，數據安全工作的開展多為對特定業務需求的響應而觸發.技術工具未部署技術工具以固化數據安全制度流程和提升數據安全能力.人員能力未安排具備數據安全過程域相關知識背景的人參與到數據安全保障工作中。能力級別2計劃跟蹤在這一級別上，過程域基本實踐的執行是經計

15、劃并被跟蹤的，并對實踐情況進行驗證.數據安全管理應符合指定的標準和需求。通過測量來跟蹤過程域的執行情況，因此,使組織機構能夠基于實際實踐活動進行管理。與非正式實踐級別間的主要區別是過程實踐被計劃和管理.該能力級別包含如下公共特征:公共特征2.1規劃執行；公共特征2.2規范化執行公共特征2.3驗證執行;公共特征2。4-跟蹤執行。5.2.1公共特征2。1規劃執行5.2.1.1公共特征描述該公共特征的基本實踐集中在過程域以及相關的基本實踐執行的規劃方面,因而涉及到過程文檔的編制，過程工具的提供，過程實踐的計劃，規劃執行的培訓，過程資源的分配以及過程執行的責任分配。這些通用實踐為規范化的過程執行提供了

16、最根本的基礎。組織建設基于數據安全過程域的內容,規劃關鍵數據安全管理的團隊/崗位所需要的任務和責任，該團隊/崗位主要負責對數據安全過程域中的關鍵安全管理規則的制定。任務和責任應規定到，包括內部、外部的和過程實踐相關的所有相關方.制度流程以數據為中心建立數據安全制度流程，并將數據安全制度流程形成標準化文檔，并通過技術工具進行固化，使制度流程按照設計的方式執行。在此模型中,一個組織機構或一個項目中的過程無需與過程域一一對應。因此,覆蓋一個過程域的過程可能可以以不止一種方式進行描述（例如以政策、標準等方式）,一個過程描述可能包含不止一個過程域。對數據安全制度流程的實踐進行規劃，和對數據安全工程和項目

17、類的過程域規劃可以按照項目計劃的形式存在，而組織類的計劃可以在組織機構層面上進行.技術工具規劃為執行數據安全過程域基本實踐所需要的技術工具，來確保數據安全過程的執行。為支持數據安全過程域的規劃執行提供適當的工具.人員能力為執行數據安全過程域基本實踐規劃充分的人力資源，分配其所需要的任務和責任,規劃適當的培訓，來確保過程的執行.公共特征2.2規范化執行公共特征描述該公共特征的通用實踐注重于對過程實踐的控制程度，需要使用過程執行計劃、執行基于標準和程序的過程、對數據安全過程實施配置管理等。這些通用實踐構成了驗證數據安全過程執行的重要基礎組織建設基于數據安全過程域的內容,分配在數據安全過程域中所涉及

18、的承擔關鍵數據安全管理職責的團隊/崗位，該團隊/崗位主要負責對數據安全過程域中的關鍵安全管理規則的落實.制度流程針對該數據安全過程域中的關鍵的風險點提出了相應的安全要求，并將相應的要求以制度流程的形式進行了文檔化。對數據安全制度流程進行規范化執行，在執行過程域中,使用文檔化的計劃、標準指導實踐。基于過程描述執行的過程稱為“描述的過程.將數據安全制度流程實施配置管理，進行版本控制和/或變更控制。配置管理可視項目具體情況，組織機構可采用工具和/或人工方式。配置管理應提前做好規劃。技術工具根據行業內對相關數據安全過程域的技術產品的普及度，以及組織機構內實現自動化安全控制的可行性，組織機構已經優先采用

19、了普及度較高的技術工具或執行了可行度較高的自動化安全控制。人員能力從事數據安全過程域相關工作的人員具備對該數據安全過程域的關鍵風險的安全管理的背景知識和規范化執行數據安全過程的能力.公共特征2。3驗證執行公共特征描述該公共特征的通用實踐注重于確認過程按預定的方式執行。因此這個通用實踐涉及到驗證執行過程與可應用的計劃是一致的，以及對數據安全過程的審計。這些通用實踐構成了跟蹤過程實踐能力的重要基礎.組織建設基于數據安全過程域的內容,分析在數據安全過程域中所涉及的承擔關鍵數據安全管理職責的團隊/崗位，該團隊/崗位主要負責對數據安全過程域中的關鍵安全管理規則的制定。驗證組織機構的團隊/崗位與可用標準、

20、需求及測量目標的一致性。對于組織建設的驗證過程和審計活動應在計劃中進行定義。制度流程驗證制度流程與可用標準、需求及測量目標的一致性。對于制度流程的驗證過程和審計活動應在計劃中進行定義。技術工具驗證支撐數據安全過程的技術工具與可用標準、需求及測量目標的一致性.對于技術工具的驗證過程和審計活動應在計劃中進行定義。人員能力驗證人員能力與可用標準、需求及測量目標的一致性.對于人員能力的驗證過程和審計活動應在計劃中進行定義。公共特征2。4跟蹤執行公共特征描述該公共特征的通用實踐注重于控制數據安全項目進展的能力。因此，該過程通過可測量的計劃跟蹤過程執行，當過程實踐與計劃產生重大偏離時采取修正行動.這些通用

21、實踐形成了達到充分定義過程能力的根本基礎。組織建設對數據安全工作相關的組織建設定期進行跟蹤,通過測量來檢查跟蹤數據安全組織建設工作執行的狀態,并建立對項目級別的組織建設測量的歷史記錄。當數據安全組織機構與計劃的數據安全組織機構之間有重大差別時適當地采取修正措施.進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發生偏離。修正措施可能包括改變組織架構與職責,改變計劃，或二者兼有。制度流程對數據安全工作相關的制度流程定期進行跟蹤，通過測量來檢查跟蹤數據安全制度流程工作執行的狀態，并建立對制度流程的測量歷史記錄。當數據安全制度流程與計劃的數據安全制度流程間有重大差別時適當

22、地采取修正措施.進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發生偏離.修正措施可能包括改變制度流程，改變計劃，或二者兼有。技術工具對數據安全工作相關的技術工具定期進行跟蹤,通過測量來檢查跟蹤數據安全技術工具的狀態，并建立對技術工具的測量歷史記錄。當技術工具與計劃執行的效果有重大差別時適當地采取修正措施。進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發生偏離.修正措施可能包括改變技術工具，改變計劃，或二者兼有.人員能力對數據安全工作相關的人員能力定期進行跟蹤，通過測量來檢查跟蹤數據安全人員能力的狀態,并建立對人員能力的測量歷史記錄

23、。當數據安全人員能力與計劃的人員能力間有重大差別時適當地采取修正措施。進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發生偏離.修正措施可能包括改變人員能力,改變計劃，或二者兼有.能力級別3-充分定義在這一級別,基本實踐按照充分定義的過程執行.充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程版本.這一過程與計劃跟蹤級的主要區別在于利用組織機構范圍內的過程標準來管理和規劃。該能力級別包括以下公共特征：公共特征3。1-定義標準過程；公共特征3.2-執行已定義的過程；公共特征3.3協調安全實踐。公共特征定義標準過程公共特征該公共特征的通用實踐注重于組織機構標

24、準過程的制度化.過程制度化的起因和基礎可能是一個或多個相似過程在特定項目中的成功應用.一個組織機構的標準過程可能需要適合特定環境的使用,所以也應考慮到如何進行裁剪。因此,要為組織機構定義標準化的過程文檔,要為滿足特定用途對標準過程進行裁剪.這些通用過程形成了執行已定義過程必要的基礎。組織建設組織機構設立了實體或虛擬的團隊，該團隊主要負責針對該數據安全域建立有效的安全保護機制包括但不限于建立組織機構統一的安全管理策略、制度和流程，并制定并面向組織機構范圍內提供整體的技術標準解決方案.該團隊與數據安全過程域相關的部門（如業務部門、法律部門等）共同合作，建立有效的溝通和推進機制.該團隊已明確了數據安

25、全的組織機構和崗位,數據安全人員的角色及其職責分配,并建立有效的工作考核機制。制度流程對數據安全過程域進行數據安全風險評估，并參考相關的安全管理體系的方法論，建立了適應于組織機構自身在數據安全過程域的標準制度流程。建立數據安全域的標準制度流程,包括但不限于與組織機構結構和數據業務相一致的安全策略、具有明確管控要求的制度規范、用于相關管控要求落地的流程、指導整體工作執行的實施指南。組織機構針對該數據安全過程域的制度流程建立標準的培訓和宣傳方案,實現對與該數據安全過程域相關的團隊和人員在對制度流程的理解上的一致性。技術工具建立數據安全過程域相關的在線化平臺固化并記錄相關的流程，在組織機構內部建設、

26、部署數據安全技術產品，強化安全控制。其中，與數據安全過程域強關聯的技術產品包含關鍵的產品功能，組織機構內基于具體的業務場景實現了對數據安全技術產品的有效運營，以保證產品功能對組織機構的業務場景的適應性。人員能力從事數據安全工作的人員具備數據安全標準資質，具備在數據安全領域的工作經驗，能夠充分理解組織機構在該數據安全過程域的安全風險并具備集合具體的業務場景制定風險改進方案的能力.公共特征3。2執行已定義過程公共特征描述該公共特征注重于充分定義過程的可重復執行。因此提出了已定義過程的使用,針對有缺陷的過程結果和工作產品的核查，過程執行及其結果數據的使用。該通用實踐構成了協調安全實踐的重要基礎.組織

27、建設組織機構設立了負責針對該數據安全域執行進行有效安全保護的實體或虛擬的團隊。該團隊與數據安全過程域相關的部門（如業務部門、法律部門等）共同合作，建立有效的溝通和推進機制，實現數據安全要求和技術落地方案在數據安全過程域相關場景下的有效推行.該團隊已明確了相關人員在該數據安全過程域下的專職職責,建立執行缺陷復查的檢查工作的考核機制。制度流程組織機構針對該數據安全過程域的制度流程建立了有效的培訓和宣傳方案,實現對與該數據安全過程域相關的團隊和人員在對制度流程的理解上的一致性。使用充分定義的過程，并建立專門的缺陷復查過程域,針對過程域的適當工作產品進行缺陷復查。技術工具針對該數據安全過程域中的安全管

28、理要求,一方面建立相應的在線化平臺固化并記錄相關的流程,另一方面結合行業內的優秀產品方案在組織機構內部建設、部署相應的技術產品，強化相應的安全控制。使用技術工具收集測量數據，得到更積極的應用并且為下一級的定量管理奠定了基礎。人員能力從事數據安全工作的人員具備數據安全標準資質，具備在數據安全領域的工作經驗，能夠有效執行已定義的數據安全過程.從事數據安全工作的人員能夠充分理解組織機構在該數據安全過程域的安全風險，具備集合具體的業務場景制定風險改進方案,并執行已制定的風險改進方案的能力。公共特征3。3協調實踐公共特征描述此公共特征側重于單個業務系統和組織活動的協調。許多重大活動都是由業務系統中的不同

29、工作組和代表業務系統的組織服務組共同完成的。缺乏協調將會導致數據安全風險和不可比的結果.因此應確定業務系統內、各業務系統之間、組織機構外部活動的協調機制。這些通用實踐是獲得定量控制過程能力的必要基礎。組織建設數據安全的組織機構能夠協調業務系統內、組織機構的不同業務系統之間，以及與組織機構外部之間的標準執行實踐，保證數據安全組織建設相關標準的統一執行。制度流程數據安全的制度流程能夠協調業務系統內、組織機構的不同業務系統之間，以及與組織機構外部之間的標準執行實踐，保證數據安全制度流程相關標準的統一執行。技術工具數據安全的技術工具能夠協調業務系統內、組織機構的不同業務系統之間,以及與組織機構外部之間

30、的標準執行實踐.保證數據安全過程域中技術工具的安全管理標準統一執行。人員能力數據安全人員能夠協調項目組內、組織機構的不同項目組之間，以及與組織機構外部之間的標準執行實踐。保證數據安全過程域中人員能力相關資質管理標準的統一執行.能力級別4-量化控制這個級別收集、分析執行的詳細測量。這將獲得對過程能力和改進能力的量化理解以預測執行情況。這個級別執行的管理是客觀的，數據安全管理的質量是量化的。這一級與充分定義級的主要區別在于定義的過程是定量的理解和控制。該能力級別包括如下公共特征:公共特征4。1建立可測的安全目標；公共特征4。2客觀地管理執行.公共特征4。1建立可測的安全目標公共特征描述該公共特征的

31、通用實踐側重于為組織機構的數據安全建立可測量目標。因此這個公共特征提出了安全目標的建立.這些通用實踐為客觀地執行管理提供了必要的基礎。組織建設結合組織機構戰略安全目標、業務系統的特定要求和優先級或業務策略，將安全目標分解落實到數據安全數據安全相關的團隊/崗位的職責中，以利于安全目標的量化可測量、可執行。制度流程量化地確定已定義的過程，測量活動要被嵌入到過程定義中.建立與數據安全過程域相關的數據安全工作相關的制度流程，數據安全工作的開展多為對特定業務需求的響應而觸發。技術工具根據定量的安全目標，對技術工具提出相應的功能和性能需求。在已有的技術工具的基礎上實現對關鍵數據安全能力的量化培訓和提升。在

32、已有的該數據安全過程域的安全技術產品的基礎上，進一步結合組織機構具體的業務場景，對安全技術產品的功能和設置進行更為細致化的管理,從而實現產品能力上的更加細化的量化安全控制。人員能力關鍵崗位的數據安全人員具備較高的數據安全能力,能夠在理解組織機構整體數據安全目標的基礎上考慮負責的數據安全過程領域的安全工作開展方式。公共特征4。2-客觀地管理執行公共特征描述該公共特征的通用實踐側重于確定過程能力的量化測量并使用量化測量來管理這一過程.這個公共特征提出了量化地確定過程能力和以量化測量作為修正行動的基礎。這些通用實踐構成了獲得持續改進能力的必要基礎.組織建設組織機構應明確進行定量執行的工作要求，在工作

33、團隊中設置負責數據收集、存儲和分析的角色和人員,提供相應的資源,從而在工作中能夠客觀地監督過程的執行。制度流程在過程執行中收集測量數據，對各項工作的執行情況及其效果進行客觀的度量，為過程的持續改進提供決策依據。當過程未按定義過程能力執行時,適當地采取修正行動。基于對過程能力的理解，識別出現偏差的原因，并制定出適當的糾正、預防措施，提出何時和采取何種修正行動。針對組織機構在該數據安全過程域的制度流程進一步細化，針對所適應的關鍵業務場景基于組織機構統一的制度流程細化成相應的管理細則，從而提升其可落地性。制度流程的細化主要由承擔數據安全職責的具體業務團隊來負責并在該團隊范圍內進行發布和推廣,例如基于

34、組織機構制定的數據對外交換的原則，各業務團隊可基于其相關的數據交換的業務場景中所涉及的對外交換的數據，制定出詳細的適用于該團隊業務場景的對外數據交換的安全細則。組織機構進一步關注制度流程的執行效果,從安全要求、流程執行的有效性方面進行持續的跟蹤和效果度量,從而反饋到相關制度流程的內容修訂上。技術工具提供技術工具支持數據的采集、存儲、分析和管理等工作。人員能力關鍵崗位的數據安全人員具備客觀地管理執行的意識和能力，自覺地根據制度流程要求，采用技術工具進行數據的采集和分析。能力級別5持續優化在這個級別上，基于組織機構的商務目標并針對過程的有效性和執行效率建立量化執行目標。通過執行已定義過程和有創建的

35、新概念、新技術的量化反饋來保證對這些目標進行持續過程改進。這一級與定量控制級的主要區別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解,進行連續調整和改進。安全過程可持續優化，實時跟蹤行業的最佳實踐和業務的最新動向,制度流程和技術工具持續調整以更好適應業務發展，沉淀下來的數據安全最佳實踐能推廣至行業供其他組織機構借鑒。該能力級別包括如下公共特征:公共特征5。1-改進組織能力；公共特征5.2-改進過程有效性。公共特征5。1-改進組織能力該公共特征的通用實踐注重于在整個組織機構范圍內標準過程的使用進行比較和在這些不同使用之間進行比較。當這些過程被使用時，尋找改進標準過程的機會，分析產生的

36、缺陷以標識對標準過程的其它可能改進。因此，這個公共特征對過程的有效性建立了目標、標識對標準過程的改進以及分析對標準過程的可能變更。這些通用實踐構成了改進過程有效性的必要基礎。組織建設組織架構的設置與國際上領先的數據安全管理理念符合，且能更好適應業務發展的戰略規劃，具備及時調整的以促進業務發展的能力.制度流程為改進過程有效性，根據組織機構的業務目標和當前過程能力建立量化目標.實時跟蹤數據安全管理領域的最佳實踐和業務的最新動向,預先判斷業務在數據安全領域所面臨的風險，并在制度流程上進行持續性的優化。通過改變組織機構的標準過程族連續地改進過程，從而提高過程有效性。技術工具基于數據安全技術的最新進展以

37、及組織機構沉淀下來的數據安全技術能力，結合業務發展的實際情況引入先進的技術工具提升數據安全控制的有效性。人員能力密切關注國內外最新的數據安全標準及規范,加強行業領域內的專家交流，結合本組織機構的特點合理優化并組織機構內的數據安全解決方案.公共特征5。2改進過程有效性該公共特征的通用實踐注重于制定處于連續受控改進狀態下的標準過程.因此這個公共特征提出消除標準過程產生缺陷的原因和持續改進的標準過程。組織建設組織架構的設置與國際上領先的數據安全管理理念符合，且能更好適應業務發展的戰略規劃，具備及時調整的以促進業務發展的能力.制度流程為改進過程有效性，根據組織機構的業務目標和當前過程能力建立量化目標。

38、實時跟蹤數據安全管理領域的最佳實踐和業務的最新動向，預先判斷業務在數據安全領域所面臨的風險，并在制度流程上進行持續性的優化.執行缺陷的因果分析。有選擇的消除已定義過程中缺陷產生的原因。在這個公共實踐中，意味著公共原因和特殊原因的變化，并且每一種缺陷都會導致采取不同的行動。技術工具基于數據安全技術的最新進展以及組織機構沉淀下來的數據安全技術能力,結合業務發展的實際情況引入先進的技術工具提升數據安全控制的有效性.人員能力密切關注國內外最新的數據安全標準及規范,加強行業領域內的專家交流,結合本組織機構的特點合理優化并組織機構內的數據安全解決方案。執行該過程的人員一般為參與分析的人員.這是一種事前和反

39、復的因果分析活動.以前具有相似屬性的項目缺陷可作為目標改進區.6數據生命周期通用的安全基本實踐策略與規程數據安全策略與規程數據安全過程域描述通過建立組織機構整體的數據安全策略及規程，以實現對數據全生命周期的安全風險管控.數據安全能力基本實踐a）組織建設:設立數據安全的團隊/崗位負責組織機構的數據安全策略與規程的制定、修訂和落地。（要求5.1.1a）b）b）制度流程：1）依據組織機構的業務戰略，建立數據安全方針和目標，并基于此建立以數據生命周期為核心思想的數據安全制度體系，相關制度均從目的、范圍、崗位、責任、管理層承諾、內外部協調及合規性方面提出明確的要求。（要求5。1。1a）b）2）建立了數據

40、安全策略與規程的分發流程，策略和規程均能被組織機構各部門、崗位和人員獲取。（要求5.1.1c）3）制定并實施與安全策略和規程相適應的大數據平臺和大數據應用實施細則，包括外部數據資源整合、數據共享、數據發布等數據供應鏈安全管理細則、合同要求及審核機制.（要求5.1.1.d）4）建立策略及規程的評審、發布流程，并確定適當的頻率和時機對策略和規范進行更新，以確保其持續的適宜性和有效性。（要求5.1。1e）f）c）技術工具：建立了數據安全策略及規程管理的技術工具，通過該技術工具面向組織機構全體員工發布對策略及規范的解讀材料，以便于策略規范的落地推進。（要求5。1.1c）d）d）人員能力：1）負責數據安

41、全頂層方針、策略制定的人員了解組織機構的業務發展目標，能夠將數據安全工作目標和業務發展目標進行有機的結合.（要求5.1。1a）、5。1。2a）b）2）負責數據安全策略與規程編寫的人員掌握信息安全管理體系建設的知識，并具有專業的規范撰寫能力。（要求5.1.1a）、b）、c）、d）3）負責數據安全策略及規范推廣的人員能夠對數據安全管理的方針、策略和制度規范進行準確解讀，能夠以員工和相關方易理解的方式通過培訓等形式進行宣傳。（要求5。1。1c）數據與系統資產數據資產數據安全過程域描述通過建立針對組織機構數據資產的有效管理手段,從資產的類型、管理模式方面實現統一的管理標準。數據安全能力基本實踐a）組織

42、建設：設置數據安全的團隊/崗位負責組織機構統一的數據資產管理工作,主要負責對數據資產管理的規范制定和落地推動,并由各業務團隊的具體人員承擔各業務范圍內的數據資產管理工作.（要求5。2。1。1a）b）c）d）e）b）制度流程:1）制定數據資產的安全管理規范，明確數據資產的安全管理目標和安全原則，管理規范明確了數據資產的登記制度，定義了數據資產的數據管理者和安全管理者在組織機構中的角色定位和所應承擔的職責，并提出數據資產的分類管理要求.（要求5.2。1。1a）c）2）建立數據資產分類分級方法和操作指南，以及數據資產分類分級的變更審批流程和機制.（要求5。2。1.1b）3）建立數據資產清單，明確數據

43、資產管理范圍和屬性。（要求5。2。1。1d）4）建立組織機構內部數據資產管理過程中需要數據管理者和安全管理者需要參與的審批流程，并清晰定期其在各流程中所承擔的審批職責。（要求5。2.1。1b）5）定期審核和更新數據資產安全管理相關的安全規范、操作細則。（要求5。2。1。1e）6）依據數據資產和數據主體安全分級要求建立相應的標記策略、訪問控制、數據加解密、數據脫敏等安全機制和管控措施。（要求5.2。1。2a）7）建立組織機構業務所需的內外部數據資產的安全治理原則和數據資源整合規范。（要求5。2。1。2b）c）技術工具:1）建立組織機構統一的數據資產管理平臺，通過技術工具整體量化組織機構內部的數據

44、資產情況，實現對數據資產的統一管理，包括但不限于標識數據的數據管理者和安全管理者，數據資產等級，數據資產數據量,各等級的數據資產的分布情況等信息，從而便于數據管理人員進行整體的數據資產現狀統計。(要求5。2。1。2c)量化數據管理者和安全管理者在相關數據安全流程中的參與情況,調整數據管理者和安全管理者的職責要求。(要求5。2.1。2a)人員能力：具備對組織機構內部數據資產管理需求的理解，以及對數據資產所涉及業務范圍的整體概念的理解，能夠建立適用于組織機構業務實際情況的可落地的管理制度。(要求5。2.1。1a)b)c)d)e)、要求5。2。1。2a)b)c)系統資產數據安全過程域描述通過建立針對

45、組織機構內部信息系統資產的有效管理手段，從資產的類型、管理模式方面實現統一的管理標準。數據安全能力基本實踐組織建設：設置專門的團隊/崗位負責組織機構統一的信息系統資產管理工作，主要負責對信息系統資產管理的規范制定和落地推動，并由各業務團隊的具體人員承擔各業務范圍內的信息系統資產管理工作。(要求5。2。2。1a)、b)、c)、d)、e)制度流程:制定信息系統資產的安全管理制度，明確信息系統資產安全管理目標和安全原則、信息系統資產的全生命周期管理要求、資產登記要求和分類標記要求，并針對安全管理制度執行定期審核和更新。(要求5。2。2。1a)、e)建立信息系統資產建設和運營管理制度和機制，明確規劃、

46、設計、采購、開發、運行、維護及報廢等資產管理過程的安全要求。(要求5.2.2.1b)建立組織機構內的信息系統資產登記機制，形成整體的信息系統軟硬件資產清單，明確系統資產安全責任主體及相關方，并及時更新系統資產相關信息。(要求5。2。2。1c)建立和實施信息系統資產分類和標記規程，使資產標記易于填寫和依附在相應的系統資產上。(要求5。2。2。1d)建立信息系統資產更新、運營風險評估和供應鏈安全審查規程和制度。(要求5.2。b)技術工具:針對易通過技術工具執行資產登記、分類標記的信息系統,實現自動化的屬性標識工作(要求5。2。2.1d)組織機構建立信息系統資產管理平臺,能夠通過技術工具整體量化組織

47、機構內部的信息系統資產情況，包括但不限于整體的信息系統資產數量等信息，具備系統資產統一注冊管理和使用監控等能力，從而便于信息系統管理人員進行整體的信息系統資產現狀統計(要求5。2.2。2a)人員能力：負責組織機構統一的信息系統資產管理工作的人員具備對組織機構內部信息系統資產管理需求的理解，以及對信息系統資產所涉及業務范圍的整體概念的理解,能夠建立適用于組織機構業務實際情況的可落地的管理制度。(要求5。2。2。1a)、b)、c)、d)、)組織和人員管理組織管理數據安全過程域描述通過建立組織機構內部負責數據安全工作的職能部門及崗位,并明確職能部門及崗位承擔的數據安全責任，防范人員管理過程中存在的安

48、全風險.數據安全能力基本實踐a）組織建設：1）基于組織機構的數據安全方針及策略，充分定義了組織機構內部正式的數據安全職能部門/崗位,數據安全的職能框架包括但不限于：（要求5。3.1.1a）、c）數據安全規范及標準：負責組織機構內數據安全相關的規范制度和詳細標準的制定,為組織機構數據安全相關工作的開展提供依據和要求。數據安全技術及產品：負責組織機構內數據安全技術的應用、數據安全產品的開發和部署，建立整體的技術防護及應急保障體系.數據安全監控及審計：負責建立組織機構內的數據安全風險管理體系，對數據全生命周期的安全風險進行審計，從風險的預防、發現、跟進等環節實現對風險的有效管理。數據安全宣傳與促進：

49、負責面向組織機構內全體人員普及數據安全相關知識，通過多種形式推廣數據安全的風險防范思路和方法，提高組織機構內全體人員的數據安全意識，促進數據安全工作的具體落地。數據安全合作與交流:負責與監管機構進行持續的溝通，并在行業內交流數據安全的實踐經驗、開展相關合作以促進行業的整體發展。信息系統安全管理：負責信息系統的安全規劃、安全建設、安全運營和系統維護工作，實現基礎信息系統的安全管理。2）組織機構層面建立數據安全領導小組,指定機構最高管理者或授權代表擔任小組組長，并明確組長責任與權力。（要求5.3.1。1b）3）職能崗位設計時考慮了職責分離的原則，并建立組織機構內部監督管理職能部門，對組織機構內部的

50、數據安全管理的相關職能崗位的操作行為進行安全監督管理.（要求5。3。1。1d）4）建立體系化的大數據安全管理機構,組織機構最高管理人員應作為大數據安全領導小組組長，且配備必要的管理人員和技術人員。（要求5。3。1。2a）5）設置專職的大數據服務安全崗位，建立規范化的大數據服務安全保護、評估及考核專職隊伍。（要求5。3.1。2b）b）制度流程:1）制定數據安全職能的工作規范,以明確各職能崗位之間的協作關系，明確了各職能崗位的運行配合機制。（要求5。3.1。1a）2）制定大數據安全追責制度，定期對責任部門和安全崗位組織安全檢查，形成檢查報告。（要求5。3.1。1e）c）技術工具：在組織機構通過技術

51、工具以公開信息且可查詢的形式面向全員公布數據安全職能部門的組織架構。（要求5.3.1.1a,5。3。1.2a）d）人員能力：1）負責執行數據安全職能設置的人員能夠明確組織機構的數據安全工作目標.（要求5。a）2）能夠充分理解數據安全職能現狀,并具備基于職能運作的效果有效調整職能設置的能力。（要求5.3.1。2a）、b）人員管理數據安全過程域描述通過對人力資源管理過程中各環節的安全管理,有效降低對組織機構內部的員工和第三方員工的管理過程中存在的安全風險。數據安全能力基本實踐a）組織建設:明確在人力資源管理過程中承擔數據安全管理職責的崗位，該崗位負責對數據安全需求的分析及落地方案的制訂和推進.（要

52、求5。3.2.1a）、b）、c）、d）、e）、f）、g）b）制度流程：1）制定人力資源安全策略，明確不同崗位人員在數據生命周期各階段數據服務和系統服務相關的工作范疇和安全管控措施。（要求5。3。2。1a）2）制定大數據服務人員招聘、錄用、上崗、調崗、離崗、考核、選拔等人員安全管理制度,將數據安全相關的環節固化到涉及的人力資源流程中。制度中明確要求在錄用重要崗位人員前對其進行背景調查,確保符合相關的法律、法規、合同和道德要求，并與所有涉及大數據服務崗位人員簽訂安全責任協議；明確大數據服務重要崗位的兼職和輪崗、權限分離、多人共管等安全管理要求;建立在崗人員安全責任獎懲管理機制，將員工在職期間在數據

53、安全方面的義務和職責納入人力資源激勵和懲罰的范疇，并按照規定對造成大數據安全損失的人員給予相應的處理，記錄并保存相關信息；在重要崗位人員調離或終止勞動合同時，與其簽訂保密協議。（要求5.3.2.1b）、c）、d）、e）、g）3）制定第三方人員安全管理制度，對接觸個人信息、重要數據等數據的人員進行審批和登記，并要求簽署保密協議，定期對這些人員行為進行安全審查。（要求5。3。2。1f）4）明確關鍵崗位人員背景調查范圍,定期對關鍵崗位人員進行背景審查；對員工候選者的背景調查中也包含了對候選者的專業能力的調查。（要求5。3。2.2a）c）技術工具:通過技術化手段將人力資源安全相關的流程通過系統平臺自動

54、化實現。（要求5。3。2.1a）、b）、c）、d）、e）、f）、g）d）人員能力：1）負責人力資源安全管理的人員應充分理解人力資源管理流程中可對安全風險進行把控的環節。并通過培訓、考試等手段提升全體人員數據安全意識水平.（要求5。3.2.1a）、b）、c）、d）、e）、f）、g）2）明確關鍵崗位人員安全能力要求,并確定他們培訓技能考核內容與考核指標,定期對關鍵崗位人員進行審查和能力考核。（要求5。3。2。2b）角色管理數據安全過程域描述通過對大數據安全管理過程中各角色的安全管理,有效降低對組織機構內部的員工和第三方員工的管理過程中存在的安全風險。數據安全能力基本實踐a）組織建設：明確在人力資源

55、管理過程中承擔數據安全管理職責的崗位，該崗位負責對數據安全需求的分析及落地方案的制訂和推進.（要求5.3。3。1a）、b）、c）b）制度流程：1）建立大數據相關的安全角色,明確安全角色的分配策略和授權范圍。（要求5。3。3。1a）2）建立用戶角色及角色權限沖突的定期審查機制，及時更新用戶角色及角色權限授權信息。（要求5.3.3。1b）3）明確大數據安全相關重要崗位及其角色安全要求,建立重要崗位角色清單和授權機制。（要求5。3.1。1c）4）依照大數據業務需求和大數據系統架構建立分層的角色體系、職責分離等大數據業務安全角色管理機制。（要求5。3.3。2a）5）建立用戶應用上下文感知的角色啟動、停

56、用與禁用的動態管理策略、規程和機制。（要求5.3。3。2b）c）技術工具:通過技術化手段將角色管理相關的規則與組織機構的身份認證管理平臺進行聯動，自動化實現相關安全控制。（要求5。3。3。1a）、b）、c）d）人員能力:負責角色管理的人員應充分理解角色管理流程中可對安全風險進行把控的環節，通過培訓、考試等手段提升各角色人員數據安全意識水平。（要求5.3。3。1a）、b）、c）人員培訓數據安全過程域描述通過對人力培訓管理過程中各環節的管理,有效提升組織機構內部的員工和第三方員工的數據安全意識和數據安全能力水平。數據安全能力基本實踐a）組織建設:明確組織機構內部承擔人員數據安全培訓管理職責的崗位，

57、該崗位負責對數據安全培訓需求的分析及落地方案的制訂和推進。（要求5。3。4。1a）、b）、c）b）制度流程：1）制定大數據安全崗位人員的安全培訓計劃，并對培訓計劃定期審核和更新。（要求a）2）制定大數據安全關鍵崗位轉崗、崗位升級等相應的人員安全培訓計劃，并對培訓計劃定期審核和更新。（要求5。3.4.1b）3）按計劃對相關人員開展數據安全培訓，包括政策、法律、法規、標準等合規性培訓,并對培訓結果進行評價、記錄和歸檔。（要求5。3。4。1c）4）根據不同的業數據各類業務場景下的數據安全培訓計劃和培訓材料。（要求5。3。4。2a）c）技術工具：1）通過技術化手段將數據安全人員培訓相關的流程通過系統平

58、臺自動化實現.（要求5.3a）、b）、c）2）通過在線的人員培訓管理平臺,量化管理人員培訓的效果。（要求5.3。4。1a）、b）c）、5.3。4。2a）d）人員能力：固化了針對員工、第三方人員進行數據安全能力培訓的環節,通過培訓、考試等手段提升全體人員數據安全能力水平。（要求5。3。4.1a）、b）、c）、5。3。4.2a）業務規劃與管理戰略規劃數據安全過程域描述通過建立組織層面大數據安全戰略規劃體系,保證大數據戰略規劃與組織機構的大數據業務規劃相適應。數據安全能力基本實踐a）組織建設：設立專門的大數據戰略規劃崗位,負責對制定組織機構整體的戰略規劃并推進階段性的規劃執行；同時，設立大數據安全戰

59、略規劃評估小組，負責機構安全規劃評估，確保大數據安全策略、安全目標和戰略規劃內容的合規性.（要求5.4。1.1c）b）制度流程：1）依據機構大數據安全戰略規劃目標，制定大數據安全規劃各階段目標、任務和工作重點,并對戰略規劃目標和安全規劃實施過程進行監督與控制。（要求5.4。1。1b）2）建立大數據安全管理綱領性文件，包括但不限于:數據治理、數據質量、元數據,以及平臺與應用安全相關的數據所有權、數據開放與共享等安全策略。（要求5。4。1。2b）3）建立大數據安全規劃動態調整制度,并通過信息化平臺進行管理。（要求5。4。1。2a）c）技術工具：1）建立組織機構統一的信息化平臺對大數據安全戰略規劃面

60、向組織機構內部全員進行發布,以該信息可被全員所知悉.（要求5.4。1。1a）、b）、c）2）通過組織機構的信息化平臺執行對大數據安全規劃的動態管理。（要求5.4.1.2a）d）人員能力:負責該項工作的人員均具有戰略規劃能力，并對組織機構的數據安全管理的業務需求有充分的理解，通過培訓和宣傳等手段實現各業務的數據管理人員對戰略規劃的一致性理解。（要求5.4.1。1a）、b）、c）需求分析數據安全過程域描述通過建立針對組織機構業務的大數據安全需求分析體系，分析組織機構內大數據業務的安全需求.數據安全能力基本實踐a）組織建設:針對開展大數據業務的團隊均設立了對應的安全需求分析的崗位，負責在大數據業務規