5.3 能力成熟度等級

5.3 能力成熟度等級

組織機構的數據安全能力成熟度等級共分為5級，隨著組織機構的數據安全能力成熟度的不斷提升，數據安全能力成熟度從1級至5級逐級提高。

數據安全能力成熟度等級的定義與共性特征如表1所示：

本標準針對組織機構在每個安全過程域（PA）的能力，將數據安全能力成熟度劃分為五個能力成熟度等級，并針對每個等級下組織機構應具備的能力要求，從數據安全能力四個關鍵能力（組織建設、制度流程、技術工具及人員能力）提出具體的基本實踐（BP）。

其中，并非每個安全過程域（PA）的能力成熟度等級都包含完整的四個數據安全關鍵能力，尤其是針對安全過程域（PA）的低級別的能力成熟度等級而言。例如，某些過程域（PA）的2級要求需要具備組織建設和制度流程兩個關鍵能力，3級要求具備全部四個關鍵能力，而4級和5級的能力要求僅涉及部分關鍵能力如組織建設、技術工具的提升。

對于每個數據安全過程域，高等級的能力要求包括所有低等級能力要求。針對某一具體數據安全過程域，如果5級的能力要求中未涉及某一關鍵能力的內容，則默認需達到在4級的能力要求中的該關鍵能力的內容；如果4級的能力要求中依舊未涉及該關鍵能力，則默認需達到在3級的能力要求中該關鍵能力的內容，依此類推。

能力成熟等級的詳細描述及其通用實踐（GP）在本標準的附錄A中進行了詳細介紹。