本规范根据大数据自然环境下数字电子化数据在组织机构业务场景中的数据生命周期，从制度建设、规章制度步骤、技术性设备及其工作人员能力四个方面搭建了数据安全全过程的规范化数据安全能力成熟度等级分类实体模型以及评价指标。

本规范适用组织机构数据安全能力的本身评定，也适用第三方组织对组织机构的数据安全确保能力开展评定

本规范参考能力成熟度实体模型（CMM）的观念，以CMM的通用性实践活动来考量能力成熟度级别，以《要求》中的安全性标准为基本，界定数据安全全过程域和基本上实践活动，具体指导组织机构怎样不断做到所相应的安全性规定。

本规范关键依据《信息安全技术 大数据服务项目安全性能力规定》（下称为《要求》）中的数据安全规定对组织机构ᨀ供的数据安全能力ᨀ出评定的实体模型架构及方 ** 。《要求》中理解了大数据服务项目ᨀ供者应具备的机构有关基本安全性能力和数据生命周期有关的数据服务项目安全性能力，本规范对于《要求》中界定的每一个安全性规定界定基本上实践活动，并依据本规范界定的成熟度级别的通用性实践活动，对基本上实践活动开展级别评定。

本规范论述了数据安全能力评定的成熟度实体模型及方 ** ，在全过程域方面与《要求》完全一致，在基本上实践活动方面与《要求》开展投射，两规范可以互相支撑点启用。《要求》中理解了大数据服务项目ᨀ供者ᨀ供大数据服务所必须达到的基准线规定，本规范界定了组织机构不断完成安全性全过程、达到安全性规定的能力级别的评价指标，来具体指导组织机构ᨀ升本身的数据安全能力水准。

数据安全能力成熟度实体模型（DS-CMM）的模型构架由下列三层面组成（如下图1所显示）：

——数据生命周期安全性：紧紧围绕数据生命周期，ᨀ练成大数据自然环境下，以数据为核心，对于数据生命周期各环节创建的有关数据安全全过程域管理体系。

——安全性能力层面：确立组织机构在各数据安全行业所必须拥有的能力层面，确立为制度建设、规章制度步骤、技术性专用工具和工作人员能力四个重要能力的层面。

——能力成熟度级别：根据统一的等级划分规范，优化组织机构在各数据安全全过程域的五个等级的能力成熟度等级分类规定。

D ** M（Data security capability ** turity model）数据安全能力成熟度实体模型，由阿里做为关键拟定企业定编的一份有关数据安全管理方法的规范，现阶段是审批稿情况，将要变成国家行业标准。回过头看如今规模性数据泄漏事情持续产生，对客户本人和公司都导致了极端的危害，造成财产损失，乃至有生命威胁，D ** M终将变成各公司数据安全基本建设的根据手册。

D ** M参考能力成熟度实体模型（CMM）的观念，将数据依照其生命周期阶段性选用不一样的能力评定级别，分成数据收集安全性、数据传送安全性、数据储存安全性、数据解决安全性、数据互换安全性、数据消毁安全性六个环节。D ** M从制度建设、规章制度步骤、技术性专用工具、工作人员能力四个安全性能力层面的基本建设开展整体考虑。D ** M区划变成1-5个级别，先后为非正规的实行级、方案追踪级、充足界定级、量化分析操纵级、不断提升级，产生一个三维立体实体模型，全层面对数据安全开展能力基本建设。

下面的图为引入的规范的模型图：

数据生命周期安全性

根据大数据自然环境下数据在组织机构业务流程中的运转状况，界定数据生命周期的6个环节，实际各环节

的界定如下所示：

——数据收集：指在组织机构内部结构系统软件中澳转化成数据，及其从外界搜集数据的环节。

——数据传送：指数据在组织机构内部结构从一个实体线根据互联网流动性到另一个实体线的环节。

——数据储存：指数据以一切数字格式开展物理学储存或云储存的环节。

——数据解决：指组织机构在内部结构对于数据开展测算、剖析、数据可视化等使用的环节。

——数据互换：指数据由组织机构与外界组织机构及本人互动的环节。

——数据消毁：指根据对数据及数据的存储介质通过对应的实际操作方式，使数据彻底解决且没法根据一切方式修复的全过程。

组织机构的数据安全能力成熟度

实体模型分成五个成熟度级别，一级是非正规的实行级，二级是方案追踪级，三级是充足界定级，四级是量化分析操纵级，五级是持续改善级。能力等级从一级至五级逐步ᨀ高，意味着组织机构的数据安全确保能力的成熟度持续ᨀ升。每一个等级要求了相应的公共性特点和通用性实践活动。

安全性能力层面

根据对各类安全性过程所需具有安全性能力的量化分析，可供组织机构评定每项安全性全过程的完成能力。安全性能力从制度建设、规章制度步骤、技术性软件及工作人员能力四个层面进行。

——制度建设：数据安全组织机构的构架创建、岗位职责分派和沟通交流合作。

——规章制度步骤：组织机构重要数据安全行业的规章制度规范化和步骤落地式基本建设。

——技术性专用工具：根据方式方法和设备专用工具干固安全性规定或自动化技术完成安全工作。

——工作人员能力：实行数据安全工作中的技术人员的思想意识及技术专业能力。