C.1 能力成熟度等級評估流程

C.1 能力成熟度等級評估流程

數據安全能力成熟度等級的評估從組織建設、制度流程、技術工具和人員能力四個關鍵能力展開。通過對各項安全過程所需具備安全能力的評估，可評估組織在每項安全過程的實現能力屬于哪一等級。

對能力成熟度等級的詳細評估流程如下：

1) 確定模型適用范圍：分析需要保護的數據資產及業務范圍，確定模型使用或評估范圍；

2) 確定能力成熟度級別目標：分析組織機構數據安全風險，建設成熟度等級建設目標；

3) 選取安全過程域：針對組織機構的數據相關的業務現狀，選取適當的數據安全過程域納（PA）。例如，對于有的組織機構而言，不存在數據對外共享的處理，則無需選擇共享安全的過程域。

4) 執行基本實踐：依據標準對各等級數據安全基本實踐（BP）要求，從四個關鍵能力進行落地和不斷改進提升；

5) 過程域安全評估（GP）：基于選擇的安全過程域范疇，針對各項安全過程域對組織機構的數據安全實踐情況進行現狀的調研和分析。按照“附錄A”各級別的通用實踐（GP）描述確定該過程域的等級。（件附表1）

6) 確定組織機構整體等級：結合所有過程域的等級，確定組織機構整體的數據安全能力成熟度等級，對數據安全能力進行持續建設和改進。

其中，對四個關鍵能力的評估方法如下：

1) 組織建設：評估是否具有開展工作的專職/兼職崗位、團隊或人員，其工作職責是否通過規范要求或其他手段得到確認和保障。

2) 制度流程：檢查是否有關鍵數據安全領域的制度規范和流程及其在組織機構內的落地執行情況。

3) 技術工具：檢查組織機構內的各項安全技術手段、通過產品工具固化安全要求或自動化的安全作業的實施運作情況。

4) 人員能力：執行數據安全工作的人員是否經過專業的技能和安全意識教育培訓。

數據安全能力成熟度模型的評估所采用的方式與基線風險評估的方式類似，可以包括但不限于以下幾種手段：

1) 人員訪談：通過訪談的方式與被評估方進行交流、討論等活動，獲取相關證據，了解有關信息。

2) 文檔審核：由被評估方輸入與數據安全相關的文檔材料（如數據安全的方針政策、制度規范流程、培訓教育材料、以及與產品技術相關的設計實施方案、配置說明、運行記錄和其他配套表單），評估小組審核相關的文檔材料是否已涵蓋完整數據生命周期的過程域和控制項。

3) 配置檢查：根據被評估方提供的技術材料，登錄相關的系統工具平臺，檢查配置是否與材料保持一致，對文檔審核內容進行核實。

4) 工具測試：利用技術工具對系統工具平臺進行測試，驗證是否符合數據安全成熟度模型特定等級的技術能力要求。

5) 旁站式驗證：評估人員在現場通過實地觀察人員行為、技術設施和環境狀況判斷人員的安全意識、業務操作、管理程序等方面的安全情況。