信息技术系统安全工程能力成熟度模型

1、国家标准信息安全技术系统安全工程能力成熟度模型（修订）编制说明一、工作简况1.1任务来源2018年9月，全国信息安全标准化技术委员会（SAC/TC260下达了制定信 息安全技术系统安全工程能力成熟度模型国家标准的专项项目任务书。项目 的承担单位是北京永信至诚科技股份有限公司。 2018年 9月，北京永信至诚科技 股份有限公司启动了该项目，开始修订信息安全技术系统安全工程能力成熟 度模型标准文档。1.2主要起草单位和工作组成员本标准主要起草单位有北京永信至诚科技股份有限公司、中国信息安全测评 中心、中新网络信息安全股份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信

2、科技有限公司、北京江南天安科技有限公 司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息安全 技术有限公司。本标准主要起草人：孙明亮、朱胜涛、王军、温哲、李斌、位华、王琰、张晓菲、蔡晶晶、陈冠直、王龑、郭颖、郑新华、杨建军、刘贤刚、上官晓丽、 许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、米凯、吴 璇、乔鹏、刘蕾杰、梁峰。1.3标准修订思路本标准使用重新起草法修改采用ISO/IEC21827:2008信息技术安全技术 系统安全工程能力成熟度模型?（ SSE-CMM），修订GB/T 202612006信息技 术系统安全工程能力成熟度模型。本标准与ISO/IEC 2

3、1827:2008勺技术性差异及其原因如下：本标准修改采用ISO/IEC 21827:2008信息技术安全技术系统安全工程能 力成熟度模型，参照GB/T 20261-2006标准主线；针对ISO/IEC 21827:2008相 对于ISO/IEC 21827:2002增加及修订的内容，ISO/IEC 21827:2008中引用的已经 失效的标准部分以及相关错误内容，在此标准中进行了更新。在术语与定义中增加基本实践、能力、信息安全事态、信息安全事件、实践、过程域。在规范性引用文件中用ISO/IEC 33001 ISO/IEC 3302(替代ISO/IEC 15504标 准正文中6.3.5能力维/

4、测量结构映射，内容涉及本标准与ISO/IEC 15504-2的映射 关系，由于ISO/IEC15504-2已经撤销，本标准修订为与ISO/IEC33020的映射内 容；标准正文中636与ISO/IEC 1528系统和软件工程系统生存周期过程的关系，内容涉及本标准与ISO/IEC 15288的映射关系，由于ISO/IEC 15288已经 更改至2015版，本标准修订为与ISO/IEC 15288: 2015勺映射内容。标准正文中第 7章中新增加了BP.06.03定义安全测量，以及 ISO/IEC21827:2008相对于ISO/IEC 21827:2002增加及修订的内容。标准正文附录A中图A.

5、1能力等级格式进行了修改，纠正ISO/IEC 21827:2008 当中的错误信息；标准正文增加附录 D、增加附录E。1.4主要工作过程1.4.1项目启动国家标准GB/T20261-2006信息技术 系统安全工程能力成熟度模型已经 运行多年，该标准为修订采用国际标准ISO/IEC 21827:2002，随着国内信息安全 形势的发展，已经不完全适用于我国内信息安全行业，与国内信息安全服务存在诸多不适应之处。为了推动信息技术系统安全工程能力成熟度模型标准化工作的进展，北京永信至诚科技股份有限公司、中国信息安全测评中心等项目组 内部开始进行有关系统安全工程标准和方法的研究工作。本次修订工作主要是修

6、改采用ISO/IEC 21827:2008信息技术安全技术系统安全工程能力成熟度 模型?(In formatio n tech no logy Security tech niq ues SystemsSecurity Engineering - Capability Maturity Model)( SSE-CMM?，结合国内最优安全实践修订国家标准GB/T20261-2006信息技术系统安全工程能力成熟度模型。本次在修订过程中，对ISO/IEC 21827:2008引用的国际标准中已经 撤销、以及旧版本的标准内容进行更新，对于标准中的有误信息进行修订； 对于GB/T20261-2006中引

7、用的已经撤销、以及旧版本国际、国家标准的行更新，对相关术语、内容与最新国际、国家标准进行核实、更新，修订GB/T20261-2006标准中的有误信息，增加附录D(资料性附录)信息安全服务与安全工程过程域对应表，增加附录E （资料性附录）GB/T 20261 XXX）与GB/T 20261 2006对比主要 变化表，为行业内对于安全工程过程域应用到信息安全服务中提供参考依据。2018年9月，经全国信息安全标准化委员会专家评审通过，信息技术 系统安全工程 能力成熟度模型标准修订项目正式立项。标准修订任务下达后，由 本项目负责人组织相关技术人员立即成立了标准修订小组，正式启动信息技术系统安全工程能力

8、成熟度模型修订工作。1.3.2标准草案阶段2018年 9月形成信息技术 系统安全工程 能力成熟度模型第一稿。2018年 10月 15日参加全国信息安全标准化委员会专家评审， 与会专家对本标 准给予了修改意见。序 号意见内容提出单位处理意见备注1.草案中部分注解不符合国内习惯，建议修改或删除；部分图例中英文建议改成 中文、重画；修订的内容与原标准之间 的说明，比较在编制说明进行论述。中国信息 测评中心采纳对图例完全变成中文，对标准的修 订内容进行了细化，编制说明中内 容进行更新2.编制说明补充与国际标准的关系，标准新旧版本的差异；标准文本要认真校 对、统一术语；建议删去 5.4条中国电子 技术标

9、准 化研究院采纳补充与国际标准的关系，对术语进 行更新、校对，删除了 5.4章节3.文本的引用标准不够统一予以补充；此标准文本与 21827、15288标准的关 系没讲清楚；修改的内容应突出出来； 总体文本修订与原标准结论紧密。原解放军 信息安全 测评认证中心采纳对文本引用的标准进行了统一，对 标准中涉及到的ISO/IEC 21827 : 2008、15288等标准的关系进行了 细致阐述。4.编制说明第一、二章叙述从修订角度而 非编制角度；详述修改的内容和理由原解放军 信息安全 测评认证中心采纳对编制说明内容进行调整，从修订 角度的主要内容进行阐述；对修订 的内容进行详述5./I夂站丰 田白&

10、amp;苛宀和鴉生【G占RB rb阿里云计 算有限公司采纳对文本的正文刖言和编制说明进行修改采用在正乂的刖言和编制说明中 明细；文中翻译不统一细化，对文中翻译进仃统一。6.在刖言中应标明国际标准修改米用和 对国家标准的修改；编制说明中说明修 改和修改的内容与理由； 对原国际标准 过往的背景描述、过程叙述等对应裁剪 或精炼概述；图示应汉化。国家信息 技术安全 研究中心采纳突出了本次是修订国家标准，修改 采用国际标准，编制说明中增加了 修订标准的理由，对原标准背景进 行描述，对文本中的内容进行了精 简，图片进行了汉化。7.明确标准是修订标准，按照修订标准格 式进行修改；文字需要进一步细化严 谨；翻

11、译痕迹严重需要本地化；术语全文要一致统一。中国电子 技术标准 化研究院采纳明确了本次标准是修订标准，对文 本正文进行细化，对术语进行了统。2018年10月 18日标准修订组召开内部会议，针对2018年10月15日专家组意见 对标准进行修订。二、标准编制原则和确定主要内容的论据及解决的主要问题本标准编制原则有4个，参考多个国内、外的标准方法论结合中国系统安全 工程的实际情况为标准编写提供了大量的依据， 本标准编写的目的主要是为规范 我国信息安全服务行业的服务行为，为系统安全工程能力的评判提供一个科学的 理论方法。1、标准编制原则如下：a）规范性：严格按照国家标准编制流程进行标准的编制工作，力求达

12、到编 制的标准思路清晰、逻辑合理、文本规范、内容完整；b）可操作性和实用性：利用多年的实践经验，结合行业现状进行标准的 编制，力求标准在具体执行中操作性和实用性强；c ）协调一致性：广泛征求业界专家的意见，同时充分考虑相关标准的关联 关系，力求达到编制标准的不同使用方的协调一致和标准之间的协调统一；d） 科学性与先进性：借助于国际上在信息安全保障和能力成熟度等方面 的科学方法及思路，进行标准文本的设计和编写。2、标准主要内容的理论依据及解决的问题如下：a）对原标准GB/T20261-2006信息技术系统安全工程能力成熟度模型中第六章安全工程三个领域的内涵及三者之间的内涵关系进行细化，对安全工程

13、能力成熟模型中域维、能力维以及资源配置的关系进行梳理；b）对第七章中11个过程域注释进行重新解读，对其中过于抽象信息进行去 除，结合国内外的最优实践进行对应，对每个过程域中的基本实践在过程域中发 挥的作用与国内实践信息进行匹配，以及对11个过程域之间的内在关系进行细致 阐述；c）对附录A中能力等级的公共特征与国际最新标准进行匹配，对公共特征的 通用惯例行进重新梳理；d）对附录B中的基本惯例内容进行重新梳理，对不符合国内外最新研究成果、国内系统安全工程服务实际情况不符内容进行修订;e）对安全工程能力成熟度模型的评价对象进行再细化，由老版标准的针对 整个安全工程全生命周期评价方法，增加针对我国现有

14、安全服务的实际情况的评 价方法，增加对单个过程域、多个过程域组合的服务形式的评价方法等。三、主要试验或验证情况分析无。四、知识产权情况说明无。五、产业化情况、推广应用论证和预期达到的经济效果中国信息安全测评中心从 2007年开始运作信息安全系统安全工程资质业 务，至今已经基本覆盖了我国从事系统安全工程的组织。中国信息安全测评中心利用本标准阐述的能力成熟度模型客观的评价了组织在信息安全服务领域各类 型服务的能力，获得系统安全工程企业的普遍认同，为国家各行业对系统安全工 程的采购提供了有力依据，为系统安全工程的提供方提供科学的评价自身能力水 平的方法，对于规范系统安全工程行业起到了强有力的指导作用

15、，避免了采购不 科学信息安全服务所造成的不可估量的经济损失、政治影响。在此次针对GB/T202612006标准的修订工作中，借鉴了中国信息安全测评中心通过开展资质测 评工作中的大量经验。本标准在具体应用中适用于服务与产品的提供方、 服务与产品需求方、测评 第三方等。对于服务与产品的提供方可以依据本标准建立信息安全服务和产品开 发的技术与管理规范，充分发挥本标准在域维、能力维方面的作用，达到指导组 织建立完备的技术与管理体系规范的作用，应用中与ISO27001等管理标准达到互相支撑的作用，该标准作为一个系统模型，针对域维管理部分需要系列管理体 系标准作为支撑，与多个标准可以较好的配套使用，为组织

16、建立完备技术与管理 体系规范，为组织规范服务过程和产品开发过程提供了科学的指导依据。应用此标准，服务与产品的需求方可以建立选择供应商的组织考核依据，为组织更好的完成业务目标提供科学支撑。对于第三方，可以应用此标准建立完善的测评体系， 为社会提供分类分级的服务与产品的测评体系，科学的进行服务和产品的测评。在整个标准修订过程中，集合了社会各方的调研信息，目前该标准有超过千 家的组织对其进行研究、应用，科学的规范了信息安全行业组织的服务和产品质 量，为整个行业的健康发展发挥了重要作用。六、采用国际标准和国外先进标准情况采用的国际标准主要为：ISO/IEC 21827:2008信息技术 安全技术 系 统安全工程能力成熟度模型？(In formatio n tech nology Security techniques Systems Security Engineering - Capability Maturity Model?)(SSECMM)?，主要参考SSE-CM中能力成熟度的思路，结合我国系统安全工程 的实际情况进行构造系统安全工程能力成熟度模型。七、与现行相关法律、法规、规