A.5 能力成熟度等級4—量化控制

A.5 能力成熟度等級4—量化控制

A.5.1　能力成熟度等級描述

在這一等級上，組織機構通過對基本實踐執行情況的收集、分析和測量，獲得過程執行能力和預測能力的量化表示。這個等級的數據安全管理和質量控制過程是客觀，與等級3“充分定義”的主要區別在于執行過程的量化表示和控制。
在這一等級上，過程域和基本實踐的執行按照如下的共性特征來執行：
（1）建立可測的安全目標：建立可測量目標，為客觀地執行管理提供了必要的基礎；

A.5.2　GP 4.1 組織建設

組織機構應明確定量的數據安全保障要求，將安全目標分解落實到數據安全相關的崗位職責中，以利于安全目標的量化可測量、可執行。

A.5.3　GP 4.2 制度流程

在制度流程中制定收集和測量數據的方法，對各項數據安全工作的執行情況及其效果進行客觀的度量。

A.5.4　GP 4.3 技術工具

根據定量的安全目標，對技術工具提出相應的功能和性能需求。在已有的技術工具的基礎上實現對關鍵數據安全能力的量化控制。

A.5.5　GP 4.4 人員能力

對數據安全人員能力建立量化的衡量指標，定期進行考核、培訓等。