2标准草案阶段全国信息安全标准化技术委员会

1、国家标准草案稿资料国家标准信息技术 系统安全工程 能力成熟度模型（修订）编制说明一、 工作简况1.1 任务来源2018年9月，全国信息安全标准化技术委员会（SAC/TC260）下达了制定信息技术 系统安全工程 能力成熟度模型国家标准的专项项目任务书。项目的承担单位是北京永信至诚科技股份有限公司。2018年9月，北京永信至诚科技股份有限公司启动了该项目，开始修订信息技术 系统安全工程 能力成熟度模型标准文档。1.2主要起草单位和工作组成员本标准主要由北京永信至诚科技股份有限公司起草，参加单位有：中国信息安全测评中心、中国电子技术标准化研究院、公安部第三研究所、国家信息中心、北京江南天安科技有限公

2、司、阿里巴巴（北京）软件服务有限公司。本标准主要起草人：孙明亮、李斌、位华、王琰、蔡晶晶、余慧英、李炜、杨建军、上官晓丽、任卫红、陈永刚、陈冠直等。 1.3主要工作过程1.3.1项目启动国家标准GB/T20261-2006信息技术 系统安全工程能力成熟度模型已经运行多年，该标准为修订采用国际标准ISO/IEC 21827:2002，随着国内信息安全形势的发展，已经不完全适用于国内信息安全行业，与国内信息安全服务存在诸多不适应之处。为了推动信息技术 系统安全工程能力成熟度模型标准化工作的进展，北京永信至诚科技股份有限公司、中国信息安全测评中心等项目组内部开始进行有关系统安全工程标准和方法的研究工

3、作。本次修订工作主要是修改采用ISO/IEC 21827:2008 信息技术安全技术系统安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model）（SSE-CMM®），结合国内最优安全实践修订国家标准GB/T20261-2006信息技术 系统安全工程能力成熟度模型。本次在修订过程中，对于ISO/IEC 21827:2008引用的国际标准中已经撤销、以及旧版本的进行更新，以及对于GB/T20261-2006中已

4、经撤销、以及旧版本的进行更新，对相关术语、内容与最新国际、国家标准进行核实、更新。2018年9月，经全国信息安全标准化委员会专家评审通过，信息技术 系统安全工程 能力成熟度模型标准编制项目正式立项。标准编制任务下达后，由本项目负责人组织相关技术人员立即成立了标准编制小组，正式启动信息技术 系统安全工程 能力成熟度模型编制工作。1.3.2标准草案阶段2018年9月形成信息技术 系统安全工程 能力成熟度模型第一稿。2018年10月15日参加全国信息安全标准化委员会专家评审，与会专家对本标准给予了修改意见。序号意见内容提出单位处理意见备注1.草案中部分注解不符合国内习惯，建议修改或删除；部分图例中英

5、文建议改成中文、重画；修订的内容与原标准之间的说明，比较在编制说明进行论述。中国信息测评中心采纳对图例完全变成中文，对标准的修订内容进行了细化，编制说明中内容进行更新2.编制说明补充与国际标准的关系，标准新旧版本的差异；标准文本要认真校对、统一术语；建议删去5.4条中国电子技术标准化研究院采纳补充与国际标准的关系，对术语进行更新、校对，删除了5.4章节3.文本的引用标准不够统一予以补充；此标准文本与21827、15288标准的关系没讲清楚；修改的内容应突出出来；总体文本修订与原标准结论紧密。原解放军信息安全测评认证中心采纳对文本引用的标准进行了统一，对标准中涉及到的ISO/IEC 21827：

6、2008、15288等标准的关系进行了细致阐述。4.编制说明第一、二章叙述从修订角度而非编制角度；详述修改的内容和理由原解放军信息安全测评认证中心采纳对编制说明内容进行调整，从修订角度的主要内容进行阐述；对修订的内容进行详述5.修改采用在正文的前言和编制说明中明细；文中翻译不统一阿里云计算有限公司采纳对文本的正文前言和编制说明进行细化，对文中翻译进行统一。6.在前言中应标明国际标准修改采用和对国家标准的修改；编制说明中说明修改和修改的内容与理由；对原国际标准过往的背景描述、过程叙述等对应裁剪或精炼概述；图示应汉化。国家信息技术安全研究中心采纳突出了本次是修订国家标准，修改采用国际标准，编制说明

7、中增加了修订标准的理由，对原标准背景进行描述，对文本中的内容进行了精简，图片进行了汉化。7.明确标准是修订标准，按照修订标准格式进行修改；文字需要进一步细化严谨；翻译痕迹严重需要本地化；术语全文要一致统一。中国电子技术标准化研究院采纳明确了本次标准是修订标准，对文本正文进行细化，对术语进行了统一。2018年10月18日标准修订组召开内部会议，针对2018年10月15日专家组意见对标准进行修订。2018年10月23日参加全国信息安全标准化委员会2018年度第二次会议周，会议上向WG5组做工作汇报，形成本标准推进到征求意见稿阶段的结论。序号意见内容提出单位处理意见备注8.建议继续完善标准文本，目前

8、标准文本过于累赘。国家电网公司信息安全实验室（中国电力科学研究院）采纳对标准文本进行了精简9.图例描述的不是很清楚，例如图2风险，不能完全表达意思；6.2.2中翻译过来的描述需要注意，中文11个部分已经不是按字母顺序排序了西门子（中国）有限公司采纳对图例的描述进行了细化，对11PA过程域重新调整为按字母顺序进行排序10.本标准修改采用ISO/IEC 21827:2008, 建议在前言部分明确说明修改的内容。微软（中国）有限公司采纳对修改采用ISO/IEC 21827:2008的内容进行了细化11.能力成熟度模型的分类描述不清楚，标准成文不像是一个标准的格式中国工程物理研究院电子工程研究所部分采

9、纳对标准文本进行了精简12.内容还不够成熟，建议继续完善工业和信息化部电信研究院采纳进一步细化了文本13.建议适当精简文稿的篇幅长度甲骨文软件研究开发中心（北京）有限公司采纳进一步精简文本14.标准内容有待提炼并且需要描述清晰浪潮电子信息产业股份有限公司采纳进一步精简文本2018年11月6日标准修订组召开内部工作组会议，针对全国信息安全标准化委员会2018年度青岛会议周WG5组专家提出的修改意见进行讨论。2018年11月12日标准修订组召开内部会议，对标准文本进行征求意见稿阶段前的进一步讨论。2018年10月21日参加全国信息安全标准化委员会专家评审，与会专家对本标准给予了修改意见，建议推荐形

10、成征求意见稿。序号意见内容提出单位处理意见备注15.编制说明需要增加背景介绍及修改主要部分，工作过程中每次会议收集主要意见如何处理情况；意见汇总表采纳补充修改情况；标准文本译文不够准确建议推敲后完善；标准名称中信息技术建议改成信息安全技术，建议编制组与秘书处沟通一下情况，可先改名称。公安部三所部分采纳在编制说明中增加了每次会议意见及处置情况，对标准文本进行了进一步完善，对于将标准名称“信息技术”改为“信息安全技术”在2018年10月15日的信安标委的会议上已经进行了讨论，会议专家对于名称的更改已经进行否定16.规范性引用文件进行梳理建议修改参考；中国网络安全审查技术与认证中心采纳已经对规范性文

11、件进行了梳理17.确定系统安全来龙去脉、捕获系统运行的安全视图建议类似翻译内容修改为常用可理解的简化内容中国网络安全审查技术与认证中心采纳对文本内容进行了细化、精简，18.标准中翻译内容建议符合国内习惯、本土化；注释可以使用中文习惯。中国信息测评中心采纳对文本内容进行细化、本地化、精简19.规范性引用标准文件建议全文搜索，没有使用到文件建议列为参考文件中国电子技术标准化研究院采纳20.识别系统的目的，以便确定龙去脉。缺字情况属于格式问题；漏掉一条青岛会议意见建议补充；标准文本过于累赘像是讲故事，7.2.5.3注释还有例子不像标准文本内容。中国电力科学院采纳对标准文本进行细化、精简，青岛会议漏掉

12、意见进行补充处置21.标准文中翻译不要直译，专有名词建议反复推敲形成术语；意见汇总表每条意见进行说明不要合并。阿里云技术有限公司对文本内容进行精简、提炼二、 标准编制原则和确定主要内容的论据及解决的主要问题本标准编制原则有4个，参考多个国内、外的标准方法论结合中国系统安全工程的实际情况为标准编写提供了大量的依据，本标准编写的目的主要是为规范我国信息安全服务行业的服务行为，为系统安全工程能力的评判提供一个科学的理论方法。1、标准编制原则如下：a) 规范性：严格按照国家标准编制流程进行标准的编制工作，力求达到编制的标准思路清晰、逻辑合理、文本规范、内容完整； b) 可操作性和实用性：利用多年的实践

13、经验，结合行业现状进行标准的编制，力求标准在具体执行中操作性和实用性强； c）协调一致性：广泛征求业界专家的意见，同时充分考虑相关标准的关联关系，力求达到编制标准的不同使用方的协调一致和标准之间的协调统一； d) 科学性与先进性：借助于国际上在信息安全保障和能力成熟度等方面的科学方法及思路，进行标准文本的设计和编写。2、标准主要内容的理论依据及解决的问题如下：a）对原标准GB/T20261-2006信息技术 系统安全工程 能力成熟度模型中第六章安全工程三个领域的内涵及三者之间的内涵关系进行细化，对安全工程能力成熟模型中域维、能力维以及资源配置的关系进行梳理；b）对第七章中11个过程域注释进行重

14、新解读，对其中过于抽象信息进行去除，结合国内外的最优实践进行对应，对每个过程域中的基本实践在过程域中发挥的作用与国内实践信息进行匹配，以及对11个过程域之间的内在关系进行细致阐述；c）对附录A中能力等级的公共特征与国际最新标准进行匹配，对公共特征的通用惯例行进重新梳理；d）对附录B中的基本惯例内容进行重新梳理，对不符合国内外最新研究成果、国内系统安全工程服务实际情况不符内容进行修订；e）对安全工程能力成熟度模型的评价对象进行再细化，由老版标准的针对整个安全工程全生命周期评价方法，增加针对我国现有安全服务的实际情况的评价方法，增加对单个过程域、多个过程域组合的服务形式的评价方法等。三、主要试验或

15、验证情况分析无。四、知识产权情况说明无。五、产业化情况、推广应用论证和预期达到的经济效果信息安全测评中心依据中央编办赋予的业务职能，自2002年起开展信息安全服务资质业务。从2007年开始运作信息安全系统安全工程资质业务，至今已经基本覆盖了我国从事系统安全工程的组织，利用本标准阐述的能力成熟度模型客观的评价了组织在信息安全服务领域各类型服务的能力，获得系统安全工程企业的普遍认同，为国家各行业对系统安全工程的采购提供了有力依据，为系统安全工程的提供方提供科学的评价自身能力水平的方法，对于规范系统安全工程行业起到了强有力的指导作用，避免了采购不科学信息安全服务所造成的不可估量的经济损失、政治影响。六、采用国际标准和国外先进标准情况采用的国际标准主要为：ISO/IEC 21827:2008信息技术安全技术系统安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model®）（SSE-CMM®），主要参考SSE-CMM中能力成熟度的思路，结合我国系统安全工程的实际情况进行构造系统安全工程能力成熟度模型。七、与现行相关法律、法规、规章及相关标准的协