《信息技术 安全技术 系统安全工程 能力成熟度模型-编制说明》

国家标准草案稿资料

一、工作简况

1.1任务来源

2018年9月，全国信息安全标准化技术委员会（SAC/TC260）下达了制定《信

息技术系统安全工程能力成熟度模型》国家标准的专项项目任务书。项目的承

担单位是北京永信至诚科技股份有限公司。2018年9月，北京永信至诚科技股份

有限公司启动了该项目，开始修订《信息技术系统安全工程能力成熟度模型》

标准文档。

1.2主要起草单位和工作组成员

本标准主要由北京永信至诚科技股份有限公司起草，参加单位有：中国信息

安全测评中心、中国电子技术标准化研究院、公安部第三研究所、国家信息中心、

北京江南天安科技有限公司、阿里巴巴（北京）软件服务有限公司。

本标准主要起草人：孙明亮、李斌、位华、王琰、蔡晶晶、余慧英、李炜、

杨建军、上官晓丽、任卫红、陈永刚、陈冠直等。

1.3主要工作过程

1.3.1项目启动

国家标准GB/T20261-2006《信息技术系统安全工程能力成熟度模型》已经

运行多年，该标准为修订采用国际标准ISO/IEC21827:2002，随着国内信息安全

形势的发展，已经不完全适用于国内信息安全行业，与国内信息安全服务存在诸

多不适应之处。为了推动《信息技术系统安全工程能力成熟度模型》标准化工

作的进展，北京永信至诚科技股份有限公司、中国信息安全测评中心等项目组内

部开始进行有关系统安全工程标准和方法的研究工作。本次修订工作主要是修改

采用ISO/IEC21827:2008《信息技术安全技术系统安全工程能力成熟度模

型®》（Informationtechnology—Securitytechniques—SystemsSecurity

Engineering-CapabilityMaturityModel）（SSE-CMM®），结合国内最优安

全实践修订国家标准GB/T20261-2006《信息技术系统安全工程能力成熟度模

型》。本次在修订过程中，对于ISO/IEC21827:2008引用的国际标准中已经撤销、

以及旧版本的进行更新，以及对于GB/T20261-2006中已经撤销、以及旧版本的进

行更新，对相关术语、内容与最新国际、国家标准进行核实、更新。

国家标准草案稿资料

2018年9月，经全国信息安全标准化委员会专家评审通过，《信息技术系统

安全工程能力成熟度模型》标准编制项目正式立项。标准编制任务下达后，由

本项目负责人组织相关技术人员立即成立了标准编制小组，正式启动《信息技术

系统安全工程能力成熟度模型》编制工作。

1.3.2标准草案阶段

2018年9月形成《信息技术系统安全工程能力成熟度模型》第一稿。

2018年10月15日参加全国信息安全标准化委员会专家评审，与会专家对本标

准给予了修改意见。

序处理

意见内容提出单位备注

号意见

对图例完全变成中文，对标准的修

1.草案中部分注解不符合国内习惯，建议

修改或删除；部分图例中英文建议改成中国信息订内容进行了细化，编制说明中内

采纳容进行更新

中文、重画；修订的内容与原标准之间测评中心

的说明，比较在编制说明进行论述。

编制说明补充与国际标准的关系，标准中国电子补充与国际标准的关系，对术语进

2.

新旧版本的差异；标准文本要认真校技术标准采纳行更新、校对，删除了5.4章节

对、统一术语；建议删去5.4条化研究院

文本的引用标准不够统一予以补充；此原解放军对文本引用的标准进行了统一，对

3.

标准文本与21827、15288标准的关信息安全标准中涉及到的ISO/IEC21827：

采纳

系没讲清楚；修改的内容应突出出来；测评认证2008、15288等标准的关系进行了

总体文本修订与原标准结论紧密。中心细致阐述。

原解放军对编制说明内容进行调整，从修订

4.

编制说明第一、二章叙述从修订角度而信息安全角度的主要内容进行阐述；对修订

采纳

非编制角度；详述修改的内容和理由测评认证的内容进行详述

中心

阿里云计对文本的正文前言和编制说明进行

5.修改采用在正文的前言和编制说明中

算有限公采纳细化，对文中翻译进行统一。

明细；文中翻译不统一

司

在前言中应标明国际标准修改采用和突出了本次是修订国家标准，修改

6.

对国家标准的修改；编制说明中说明修国家信息采用国际标准，编制说明中增加了

改和修改的内容与理由；对原国际标准技术安全采纳修订标准的理由，对原标准背景进

行描述，对文本中的内容进行了精

过往的背景描述、过程叙述等对应裁剪研究中心

简，图片进行了汉化。

或精炼概述；图示应汉化。

明确标准是修订标准，按照修订标准格明确了本次标准是修订标准，对文

7.中国电子

式进行修改；文字需要进一步细化严本正文进行细化，对术语进行了统

技术标准采纳

谨；翻译痕迹严重需要本地化；术语全一。

化研究院

文要一致统一。

2018年10月18日标准修订组召开内部会议，针对2018年10月15日专家组意见

对标准进行修订。

国家标准草案稿资料

2018年10月23日参加全国信息安全标准化委员会2018年度第二次会议周，会

议上向WG5组做工作汇报，形成本标准推进到征求意见稿阶段的结论。

序处理

意见内容提出单位备注

号意见

国家电网公司信对标准文本进行了精简

8.

建议继续完善标准文本，目前标准文本过息安全实验室（中

采纳

于累赘。国电力科学研究

院）

图例描述的不是很清楚，例如图2风险，对图例的描述进行了细

9.

不能完全表达意思；6.2.2中翻译过来的西门子（中国）有化，对11PA过程域重新

采纳

描述需要注意，中文11个部分已经不是按限公司调整为按字母顺序进行

排序

字母顺序排序了

对修改采用

10.本标准修改采用ISO/IEC21827:2008,微软（中国）有限ISO/IEC

采纳21827:2008的内容进行

建议在前言部分明确说明修改的内容。公司

了细化

中国工程物理研对标准文本进行了精简

11.能力成熟度模型的分类描述不清楚，标准部分

究院电子工程研

成文不像是一个标准的格式采纳

究所

工业和信息化部进一步细化了文本

12.内容还不够成熟，建议继续完善采纳

电信研究院

甲骨文软件研究进一步精简文本

13.

建议适当精简文稿的篇幅长度开发中心（北京）采纳

有限公司

浪潮电子信息产进一步精简文本

14.标准内容有待提炼并且需要描述清晰采纳

业股份有限公司

2018年11月6日标准修订组召开内部工作组会议，针对全国信息安全标准化

委员会2018年度青岛会议周WG5组专家提出的修改意见进行讨论。

2018年11月12日标准修订组召开内部会议，对标准文本进行征求意见稿阶段

前的进一步讨论。

2018年10月21日参加全国信息安全标准化委员会专家评审，与会专家对本标

准给予了修改意见，建议推荐形成征求意见稿。

序处理

意见内容提出单位备注

号意见

编制说明需要增加背景介绍及修改主要公安部三所部分采在编制说明中增加了每次

15.

部分，工作过程中每次会议收集主要意见纳会议意见及处置情况，对标

如何处理情况；意见汇总表采纳补充修改准文本进行了进一步完善，

情况；标准文本译文不够准确建议推敲后对于将标准名称“信息技

完善；标准名称中信息技术建议改成信息术”改为“信息安全技术”

安全技术，建议编制组与秘书处沟通一下在2018年10月15日的信

情况，可先改名称。安标委的会议上已经进行

国家标准草案稿资料

了讨论，会议专家对于名称

的更改已经进行否定

规范性引用文件进行梳理建议修改参考；中国网络安采纳已经对规范性文件进行了

16.

全审查技术梳理

与认证中心

确定系统安全来龙去脉、捕获系统运行的中国网络安采纳对文本内容进行了细化、精

17.

安全视图建议类似翻译内容修改为常用全审查技术简，

可理解的简化内容与认证中心

标准中翻译内容建议符合国内习惯、本土中国信息测采纳对文本内容进行细化、本地

18.

化；注释可以使用中文习惯。评中心化、精简

规范性引用标准文件建议全文搜索，没有中国电子技采纳

19.

使用到文件建议列为参考文件术标准化研

究院

识别系统的目的，以便确定龙去脉。缺字中国电力科采纳对标准文本进行细化、精

20.

情况属于格式问题；漏掉一条青岛会议意学院简，青岛会议漏掉意见进行

见建议补充；标准文本过于累赘像是讲故补充处置

事，7.2.5.3注释还有例子不像标准文本内

容。

标准文中翻译不要直译，专有名词建议反阿里云技术对文本内容进行精简、提炼

21.

复推敲形成术语；意见汇总表每条意见进有限公司

行说明不要合并。

二、标准编制原则和确定主要内容的论据及解决的主要问题

本标准编制原则有4个，参考多个国内、外的标准方法论结合中国系统安全

工程的实际情况为标准编写提供了大量的依据，本标准编写的目的主要是为规范

我国信息安全服务行业的服务行为，为系统安全工程能力的评判提供一个科学的

理论方法。

1、标准编制原则如下：

a)规范性：严格按照国家标准编制流程进行标准的编制工作，力求达到编

制的标准思路清晰、逻辑合理、文本规范、内容完整；

b)可操作性和实用性：利用多年的实践经验，结合行业现状进行标准的

编制，力求标准在具体执行中操作性和实用性强；

c）协调一致性：广泛征求业界专家的意见，同时充分考虑相关标准的关联

关系，力求达到编制标准的不同使用方的协调一致和标准之间的协调统一；

d)科学性与先进性：借助于国际上在信息安全保障和能力成熟度等方面

的科学方法及思路，进行标准文本的设计和编写。

2、标准主要内容的理论依据及解决的问题如下：

国家标准草案稿资料

a）对原标准GB/T20261-2006《信息技术系统安全工程能力成熟度模型》

中第六章安全工程三个领域的内涵及三者之间的内涵关系进行细化，对安全工程

能力成熟模型中域维、能力维以及资源配置的关系进行梳理；

b）对第七章中11个过程域注释进行重新解读，对其中过于抽象信息进行去

除，结合国内外的最优实践进行对应，对每个过程域中的基本实践在过程域中发

挥的作用与国内实践信息进行匹配，以及对11个过程域之间的内在关系进行细致

阐述；

c）对附录A中能力等级的公共特征与国际最新标准进行匹配，对公共特征的

通用惯例行进重新梳理；

d）对附录B中的基本惯例内容进行重新梳理，对不符合国内外最新研究成果、

国内系统安全工程服务实际情况不符内容进行修订；

e）对安全工程能力成熟度模型的评价对象进行再细化，由老版标准的针对

整个安全工程全生命周期评价方法，增加针对我国现有安全服务的实际情况的评

价方法，增加对单个过程域、多个过程域组合的服务形式的评价方法等。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

无。

五、产业化