A.3 能力成熟度等級2—計劃跟蹤

A.3 能力成熟度等級2—計劃跟蹤

A.3.1　能力成熟度等級描述

在這一等級上，組織機構的數據安全過程域管理滿足標準規范的規定，相關基本實踐的執行是有計劃和有跟蹤的，并可對實踐情況進行過程驗證，與等級1“非正式執行”的主要區別是基本實踐執行過程被規范地計劃和管理。
在這一等級上，過程域和基本實踐的執行按照如下的共性特征來執行：
（1）規劃執行：對過程域和基本實踐的執行進行規劃，涉及到過程文檔的編制、過程工具的提供、過程實踐的計劃、規劃執行的培訓、過程資源的分配以及過程執行的責任指派，為規范化的過程執行提供了最根本的基礎；
（2）規范化執行：對過程域和基本實踐的執行進行規范化管理，需要使用過程執行計劃、執行基于標準和程序的過程、對數據安全過程實施配置管理等；
（3）驗證執行：注重于驗證過程是否按預定計劃執行，涉及執行過程與計劃的一致性驗證；

A.3.2　GP 2.1 組織建設

基于數據安全過程域的內容，應規劃并設立規范化的數據安全崗位，該崗位人員負責制定和落實組織機構內部的數據安全規范。

A.3.3　GP 2.2 制度流程

建立以數據為中心的數據安全制度流程，將數據安全制度流程形成標準化文檔，并按照規劃方式執行，并使用文檔化的計劃、標準指導執行過程。

A.3.4　GP 2.3 技術工具

為執行數據安全過程域基本實踐提供合適的技術工具，并基于版本控制和配置管理確保數據安全過程的自動化執行。

A.3.5　GP 2.1.4 人員能力

對數據安全人員規劃適當的培訓，使其具備數據安全風險管理知識，以及規范化執行數據安全過程的能力。