1级(非正式执行)主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人,经验无法复制。组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。2级(计划跟踪)主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。规划执行,对数据安全过程进行规划,提前分配资源和责任;规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。3级(充分定义)主要特点:在组织级别实现了安全过程的规范定义和执行。定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。4级(量化控制)主要特点:建立了量化目标,安全过程可量化度量和预测。建立可测的目标,为组织数据安全建立可测量的目标;客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。
5级(持续优化)主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。
