5.1 成熟度模型架構圖

5.1 成熟度模型架構圖

本標準借鑒能力成熟度模型（CMM）的思想，以CMM的通用實踐衡量能力成熟度等級，基于數據生命周期及通用安全過程定義數據安全過程域和基本實踐，指導組織機構如何滿足目標能力成熟度等級所對應的安全要求。

數據安全能力成熟度模型（DSMM）的模型架構如圖1所示：

數據安全能力成熟度模型的架構由以下三個維度構成：

（1）安全能力維度

安全能力維度明確了組織機構在數據安全領域所需具備的能力，包括組織建設、制度流程、技術工具和人員能力四個關鍵能力。安全能力維度在第5.2節進行了詳細說明。

（2）能力成熟度等級維度

本標準對組織機構的數據安全能力成熟度的分級評估，是基于各能力成熟度等級下的數據安全能力通用實踐（GP，Generic Practices）所定義的分級評估方法，對各數據安全過程進行的能力成熟度等級評估。

本標準的能力成熟度等級劃分為五級，具體包括：1級是非正式執行級，2級是計劃跟蹤級，3級是充分定義級，4級是量化控制級，5級是持續改進級。

能力成熟度等級在第5.3節進行了定義，并在附錄A中進行了詳細介紹。

（3）數據安全過程維度

數據安全過程包括數據生命周期安全過程和通用安全過程。

數據安全過程在第5.4節進行了說明，各安全過程由若干個安全過程域（PA，Process Area）組成，各個安全過程域由若干個基本實踐（BP，Base Practices）組成。

數據生命周期安全過程具體包括：數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段的安全過程，六個階段安全過程的過程域和基本實踐分別在第6、7、8、9、10、11章進行了詳細介紹。

通用安全過程，是與各個生命周期都相關的過程，通用安全的過程域和基本實踐在第12章進行了詳細介紹。