M数据安全管理能力成熟度模型是什么？

一、M的架构由以下三个维度构成：

1.安全能力维度

安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具和人员能力。

2.能力成熟度等级维度

数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

3.数据安全过程维度

1) 数据安全过程包括数据生存周期安全过程和通用安全过程；

2) 数据生存周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

二、M安全能力的维度：

1.能力构成

通过对组织各数据安全过程应具备安全能力的量化，进而评估每项安全过程的实现能力。

安全能力分为以下4个方面：

a.组织建设：数据安全组织的设立、职责分配和沟通协作；

b.制度流程：组织数据安全领域的制度和流程执行；

c.技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作；

d.人员能力：执行数据安全工作的人员的安全意识及相关专业能力。

2.组织建设

从承担数据安全工作的组织应具备的组织建设能力角度，根据以下方面进行能力等级区分：

a.数据安全组织架构对组织业务的适用性；

b.数据安全组织承担的工作职责的明确性；

c.数据安全组织运作、沟通协调的有效性。

3.制度流程

从组织在数据安全制度流程的建设以及执行情况角度，根据以下方面进行能力等级区分：

a.数据生存周期关键控制节点授权审批流程的明确性；

b.相关流程制度的制定、发布、修订的规范性；

c.制度流程实施的一致性和有效性。

4.技术工具

从组织用于开展数据安全工作的安全技术、应用系统和工具出发，根据以下方面进行能力等级区分：

a.数据安全技术在数据全生存周期过程中的利用情况，应对数据全生存周期安全风险的能力；

b.利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程固化执行的实现能力。

5.人员能力

从组织承担数据安全工作的人员应具备的能力出发，根据以下方面进行能力等级区分：

a.数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业能力);

b.数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。