信息技术系统安全工程能力成熟度模型-编制说明

1、国家标准报批稿资料国家标准信息安全技术系统安全工程能力成熟度模型（修订）编制说明一、工作简况1.1任务来源2018年9月，全国信息安全标准化技术委员会（ SAC/TC260）下达了制定信息安全技术 系统安全工程 能力成熟度模型 国家标准的专项项目任务书。 项目的承担单位是北京永信至诚科技股份有限公司。 2018年9月，北京永信至诚科技股份有限公司启动了该项目， 开始修订信息安全技术 系统安全工程 能力成熟度模型标准文档。1.2 主要起草单位和工作组成员本标准主要起草单位有北京永信至诚科技股份有限公司、 中国信息安全测评中心、中新网络信息安全股份有限公司、 中国电子技术标准化研究院、 北京天融信

2、网络安全技术有限公司、 北京奇安信科技有限公司、 北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息安全技术有限公司。本标准主要起草人：孙明亮、 朱胜涛、王军、温哲、李斌、位华、王琰、张晓菲、蔡晶晶、陈冠直、王龑、郭颖、郑新华、杨建军、刘贤刚、上官晓丽、许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、米凯、吴璇、乔鹏、刘蕾杰、梁峰。1.3 标准修订思路本标准使用重新起草法修改采用ISO/IEC 21827:2008信息技术安全技术?信息技系统安全工程能力成熟度模型 （SSE-CMM ），修订)GB/T 20261 2006术系统安全工程能力成

3、熟度模型 。本标准与 ISO/IEC 21827:2008的技术性差异及其原因如下：本标准修改采用 ISO/IEC 21827:2008信息技术 安全技术 系统安全工程能力成熟度模型， 参照 GB/T 20261-2006 标准主线；针对 ISO/IEC 21827:2008 相对于 ISO/IEC 21827:2002增加及修订的内容， ISO/IEC 21827:2008当中引用的已经失效的标准部分以及相关错误内容，在此标准中进行了更新。在术语与定义中增加基本实践、能力、信息安全事态、信息安全事件、 实践、国家标准报批稿资料过程域。在规范性引用文件中用ISO/IEC 33001、ISO/I

4、EC 33020替代 ISO/IEC 15504；标准正文中 6.3.5 能力维 / 测量结构映射，内容涉及本标准与ISO/IEC 15504-2的映射关系，由于 ISO/IEC15504-2 已经撤销，本标准修订为与ISO/IEC33020 的映射内容；标准正文中 6.3.6 与 ISO/IEC 15288系统和软件工程系统生存周期过程的关系，内容涉及本标准与ISO/IEC 15288的映射关系，由于ISO/IEC 15288已经更改至 2015 版，本标准修订为与ISO/IEC 15288: 2015的映射内容。标准正文中第7 章中新增加了定义安全测量，以及ISO/IEC21827:200

5、8 相对于 ISO/IEC 21827:2002增加及修订的内容。标准正文附录 A 中图 A.1 能力等级格式进行了修改， 纠正 ISO/IEC 21827:2008 当中的错误信息；标准正文增加附录 D、增加附录 E。1.4 主要工作过程项目启动国家标准 GB/T20261-2006信息技术系统安全工程能力成熟度模型已经运行多年，该标准为修订采用国际标准 ISO/IEC 21827:2002 ，随着国内信息安全形势的发展，已经不完全适用于我国内信息安全行业， 与国内信息安全服务存在诸多不适应之处。为了推动信息技术 系统安全工程能力成熟度模型标准化工作的进展，北京永信至诚科技股份有限公司、 中

6、国信息安全测评中心等项目组内部开始进行有关系统安全工程标准和方法的研究工作。本次修订工作主要是修改采用 ISO/IEC 21827:2008信息技术安全技术系统安全工程能力成熟度模 型 ? （ InformationtechnologySecuritytechniques SystemsSecurity Engineering - Capability Maturity Model）（ SSE-CMM?），结合国内最优安全实践修订国家标准 GB/T20261-2006信息技术 系统安全工程能力成熟度模型。本次在修订过程中，对 ISO/IEC 21827:2008 引用的国际标准中已经撤销、以及

7、旧版本的标准内容进行更新，对于标准中的有误信息进行修订；对于GB/T20261-2006中引用的已经撤销、 以及旧版本国际、 国家标准的行更新， 对相关术语、内容与最新国际、国家标准进行核实、更新，修订GB/T20261-2006标准中的有误信息，增加附录D(资料性附录 ) 信息安全服务与安全工程过程域对应国家标准报批稿资料表，增加附录 E（资料性附录） GB/T 20261XXXX与GB/T 20261 2006对比主要变化表，为行业内对于安全工程过程域应用到信息安全服务中提供参考依据。2018年9月，经全国信息安全标准化委员会专家评审通过，信息技术系统安全工程能力成熟度模型标准修订项目正式

8、立项。标准修订任务下达后，由本项目负责人组织相关技术人员立即成立了标准修订小组，正式启动信息技术系统安全工程能力成熟度模型修订工作。标准草案阶段2018年9月形成信息技术系统安全工程能力成熟度模型第一稿。2018年10月 15日参加全国信息安全标准化委员会专家评审，与会专家对本标准给予了修改意见。序处理意见内容提出单位号意见备注1. 草案中部分注解不符合国内习惯， 建议修改或删除；部分图例中英文建议改成中国信息中文、重画；修订的内容与原标准之间 测评中心的说明，比较在编制说明进行论述。采纳对图例完全变成中文，对标准的修订内容进行了细化，编制说明中内容进行更新2. 编制说明补充与国际标准的关系，

9、 标准 中国电子新旧版本的差异；标准文本要认真校技术标准采纳对、统一术语；建议删去5.4 条化研究院3. 文本的引用标准不够统一予以补充； 此 原解放军标准文本与 21827 、 15288 标准的关信息安全采纳系没讲清楚；修改的内容应突出出来；测评认证总体文本修订与原标准结论紧密。中心4.原解放军编制说明第一、 二章叙述从修订角度而信息安全采纳非编制角度；详述修改的内容和理由测评认证中心5.修改采用在正文的前言和编制说明中阿里云计算有限公采纳明细；文中翻译不统一司6. 在前言中应标明国际标准修改采用和对国家标准的修改； 编制说明中说明修国家信息改和修改的内容与理由； 对原国际标准技术安全采纳

10、过往的背景描述、 过程叙述等对应裁剪研究中心或精炼概述；图示应汉化。7.明确标准是修订标准， 按照修订标准格中国电子式进行修改；文字需要进一步细化严技术标准采纳谨；翻译痕迹严重需要本地化； 术语全化研究院文要一致统一。补充与国际标准的关系，对术语进行更新、校对，删除了 5.4 章节对文本引用的标准进行了统一，对标准中涉及到的ISO/IEC 21827：2008 、15288 等标准的关系进行了细致阐述。对编制说明内容进行调整，从修订角度的主要内容进行阐述；对修订的内容进行详述对文本的正文前言和编制说明进行细化，对文中翻译进行统一。突出了本次是修订国家标准，修改采用国际标准，编制说明中增加了修订

11、标准的理由，对原标准背景进行描述，对文本中的内容进行了精简，图片进行了汉化。明确了本次标准是修订标准，对文本正文进行细化，对术语进行了统一。国家标准报批稿资料2018年10月 18日标准修订组召开内部会议， 针对 2018年10月 15日专家组意见对标准进行修订。二、标准编制原则和确定主要内容的论据及解决的主要问题本标准编制原则有 4个，参考多个国内、外的标准方法论结合中国系统安全工程的实际情况为标准编写提供了大量的依据，本标准编写的目的主要是为规范我国信息安全服务行业的服务行为，为系统安全工程能力的评判提供一个科学的理论方法。1、标准编制原则如下：a) 规范性：严格按照国家标准编制流程进行标

12、准的编制工作，力求达到编制的标准思路清晰、逻辑合理、文本规范、内容完整；b) 可操作性和实用性：利用多年的实践经验，结合行业现状进行标准的编制，力求标准在具体执行中操作性和实用性强；c ）协调一致性：广泛征求业界专家的意见，同时充分考虑相关标准的关联关系，力求达到编制标准的不同使用方的协调一致和标准之间的协调统一；d) 科学性与先进性：借助于国际上在信息安全保障和能力成熟度等方面的科学方法及思路，进行标准文本的设计和编写。2、标准主要内容的理论依据及解决的问题如下：a）对原标准 GB/T20261-2006信息技术系统安全工程能力成熟度模型中第六章安全工程三个领域的内涵及三者之间的内涵关系进行

13、细化，对安全工程能力成熟模型中域维、能力维以及资源配置的关系进行梳理；b）对第七章中 11个过程域注释进行重新解读，对其中过于抽象信息进行去除，结合国内外的最优实践进行对应，对每个过程域中的基本实践在过程域中发挥的作用与国内实践信息进行匹配，以及对 11个过程域之间的内在关系进行细致阐述；c）对附录 A中能力等级的公共特征与国际最新标准进行匹配，对公共特征的通用惯例行进重新梳理；d）对附录 B中的基本惯例内容进行重新梳理，对不符合国内外最新研究成果、国内系统安全工程服务实际情况不符内容进行修订；国家标准报批稿资料e）对安全工程能力成熟度模型的评价对象进行再细化，由老版标准的针对整个安全工程全生

14、命周期评价方法， 增加针对我国现有安全服务的实际情况的评价方法，增加对单个过程域、多个过程域组合的服务形式的评价方法等。三、主要试验 或验证 情况分析无。四、知识产权情况说明无。五、产业化情况、推广应用论证和预期达到的经济效果中国信息安全测评中心从 2007 年开始运作信息安全系统安全工程资质业务，至今已经基本覆盖了我国从事系统安全工程的组织。 中国信息安全测评中心利用本标准阐述的能力成熟度模型客观的评价了组织在信息安全服务领域各类型服务的能力， 获得系统安全工程企业的普遍认同， 为国家各行业对系统安全工程的采购提供了有力依据， 为系统安全工程的提供方提供科学的评价自身能力水平的方法，对于规范

15、系统安全工程行业起到了强有力的指导作用， 避免了采购不科学信息安全服务所造成的不可估量的经济损失、政治影响。在此次针对 GB/T 202612006 标准的修订工作中， 借鉴了中国信息安全测评中心通过开展资质测评工作中的大量经验。本标准在具体应用中适用于服务与产品的提供方、 服务与产品需求方、 测评第三方等。对于服务与产品的提供方可以依据本标准建立信息安全服务和产品开发的技术与管理规范， 充分发挥本标准在域维、 能力维方面的作用， 达到指导组织建立完备的技术与管理体系规范的作用，应用中与 ISO27001 等管理标准达到互相支撑的作用， 该标准作为一个系统模型， 针对域维管理部分需要系列管理体

16、系标准作为支撑， 与多个标准可以较好的配套使用， 为组织建立完备技术与管理体系规范，为组织规范服务过程和产品开发过程提供了科学的指导依据。 应用此标准，服务与产品的需求方可以建立选择供应商的组织考核依据， 为组织更好的完成业务目标提供科学支撑。 对于第三方，可以应用此标准建立完善的测评体系，为社会提供分类分级的服务与产品的测评体系，科学的进行服务和产品的测评。在整个标准修订过程中， 集合了社会各方的调研信息， 目前该标准有超过千家的组织对其进行研究、 应用，科学的规范了信息安全行业组织的服务和产品质量，为整个行业的健康发展发挥了重要作用。国家标准报批稿资料六、采用国际标准和国外先进标准情况采用的国际标准主要为： ISO/IEC 21827:2008信息技术安全技术系统安全 工程 能力 成熟 度 模型 ? （ InformationtechnologySecuritytechniquesSystems SecurityEngineering- CapabilityMaturityModel?）（ SSE-CMM?），主要参考 SSE-CMM中能力成熟度的思路，结合我国系统安全工程的实际情况进行构造系统安全工程能力成熟度模型。七、与现行相关法律