C.2 能力成熟度模型使用方法

C.2 能力成熟度模型使用方法

由于各組織機構在業務規模、業務對數據的依賴性、以及組織機構對數據安全工作定位等方向的差異，組織機構對模型的使用需要“因地制宜”。

組織機構使用數據安全能力成熟度模型的閉環如圖4所示。

使用模型時，組織機構應首先明確其數據安全能力的目標成熟度等級。根據對組織機構整體的數據安全能力成熟度等級的定義（參見“5.3 能力成熟度等級定義”），組織機構可以選擇適合自己業務實際情況的數據安全能力成熟度等級目標。本標準定義的數據安全能力成熟度等級中，3級目標適用于所有具備數據安全保障需求的組織機構作為自己的短期目標/長期目標，具備了3級的數據安全能力則意味著組織機構能夠針對數據安全的各方面風險進行有效的控制。然而，對于業務中尚未大量依賴于大數據技術的組織機構而言，數據仍然傾向于在固有的業務環節中流動，其數據安全保障的需求整體弱于強依賴于大數據技術的組織機構，因此其短期目標可先定位為2級，待達到2級的目標之后再進一步提升到3級的能力。

在確定目標成熟度等級的前提下，組織機構根據數據生命周期所覆蓋的業務場景挑選適用于組織機構的數據安全過程域。例如組織機構A不存在數據交換的情況，因此數據交換的過程域就可以從評估范圍中剔除掉。

最后，組織機構基于對成熟度模型內容的理解，識別數據安全能力現狀并分析與目標能力等級之間的差異，在此基礎上進行數據安全能力的整改提升計劃。而伴隨著組織機構業務的發展變化，組織機構也需要定期復核、明確自己的目標成熟度等級，然后開始新一輪目標達成的工作。