A.4 能力成熟度等級3—充分定義

A.4 能力成熟度等級3—充分定義

A.4.1　能力成熟度等級描述

在這一等級上，組織機構根據已批準的過程、標準的剪裁版本和文檔化過程執行基本實踐，稱為充分定義的過程。與等級2“計劃跟蹤”的主要區別在于，使用組織級的標準過程來策劃和管理數據安全。
在這一等級上，過程域和基本實踐的執行按照如下的共性特征來執行：
（1）定義標準過程：定義標準化的過程和過程文檔，為滿足特定用途對標準過程進行裁剪。
（2）執行已定義的過程：已定義的過程可重復執行，針對有缺陷的過程結果和安全實踐的核查，對缺陷過程進行規避。

A.4.2　GP 3.1 組織建設

組織機構設立了明確的實體或虛擬的崗位和人員，實現對數據安全人員的角色及其職責分配，并建立有效的工作考核機制。
數據安全人員主要負責針對該數據安全域建立有效的安全保護機制，包括但不限于建立組織機構統一的安全管理策略、制度和流程，并制定并面向組織機構范圍內提供整體的技術標準解決方案。

A.4.3　GP 3.2 制度流程

參考相關的安全管理體系的方法論，建立了適應于組織機構自身在數據安全過程域的標準制度流程。包括但不限于：與組織機構結構和數據業務相一致的安全策略、具有明確管控要求的制度規范、用于相關管控要求落地的流程、指導整體工作執行的實施指南等。
同時，組織機構針對該數據安全過程域的制度流程建立標準的培訓和宣傳方案，保證與該數據安全過程域相關的人員在對制度流程的理解上的一致性，并針對制度流程進行專門的缺陷復查和規避。

A.4.4　GP 3.3 技術工具

建立數據安全過程域相關的在線化技術工具，固化并記錄相關的流程。在組織機構內部建設、部署數據安全技術產品,強化安全控制，并基于具體的業務場景實現了對數據安全技術產品的有效運營，以保證產品功能對組織機構的業務場景的適應性。

A.4.5　GP 3.4 人員能力

數據安全人員應具備數據安全資質和工程實踐經驗，充分理解組織機構在該數據安全過程域中面臨的安全風險，具備風險控制和改進方案的能力，能夠有效執行已定義的數據安全過程，并通過考核、復查和培訓等方式，對能力上的不足進行補齊。