信息技术系统安全工程能力成熟度模型-编制说明

国家标准资料国家标准资料国家标准《信息安全技术系统安全工程力气成熟度模型》〔修订〕编制说明一、 工作简况任务来源的担当单位是北京永信至诚科技股份。2023年9月，北京永信至诚科技度模型》标准文档。主要起草单位和工作组成员技术。本标准主要起草人：孙光明、朱胜涛、王军、温哲、李斌、位华、王琰、璇、乔鹏、刘蕾杰、梁峰。标准修订思路21827:2023《信息技术安全技术系统安全工程力气成熟度模型〔®T1—《信息技的技术性差异及其缘由如下：ISO/IEC21827:2023相失效的标准局部以及相关错误内容，在此标准中进展了更。过程域。ISO/IEC15504-2的映射ISO/IEC33020的映射内ISO/IEC15288《系统和软件工程系统生存周期过程》ISO/IEC15288已经15288:2023的映射内容。标准正文中第7章中增加了BP.06.03定义安全测量，以及ISO/IEC增加及修订的内容。标准正文附录AA.1ISO/IEC21827:2023DE。主要工作过程工程启动国家标准GB/T20261-2023《信息技术系统安全工程力气成熟度模型》已经诸多不适应之处。为了推动《信息技术系统安全工程力气成熟度模型》标准化改承受ISO/IEC21827:2023《信息技术安全技术系统安全工程力气成熟度模型®〔Informationtechnology—SecuritytechniquesSystemsSecurityEngineeringCapabilityMaturityModel〕〔SSE-CMM®〕，结合国内最优安全实践修订国家标准GB/T20261-2023《信息技术系统安全工程力气成GB/T20261-2023标准中的有误信息，增加附录D(资料性附录)信息安全效劳与安全工程过程域对应表，增加附录E〔资料性附录〕GB/T20261—XXXX与GB/T20261—2023比照主要变化表，为行业内对于安全工程过程域应用到信息安全效劳中供给参考依据。安全工程力气成熟度模型》标准修订工程正式立项。标准修订任务下达后，由1.3.22023年9月形成《信息技术系统安全工程力气成熟度模型》第一稿。年10月15准赐予了修改意见。序 处理意见内容 提出单位 备注号 意见草案中局部注解不符合国内习惯的说明，比较在编制说明进展论述。编制说明补充与国际标准的关系旧版本的差异；标准文本要认真校5.4条

中国信息测评中心中国电子技术标准化争论院

对图例完全变成中文，对标准的修订内容进展了细化，编制说明中内承受 容进展更补充与国际标准的关系，对术语进承受 行更、校对，删除了5.4章节文本的引用标准不够统一予以补充此原标准文本与21827、15288标准的关 信息安全系没讲清楚；修改的内容应突出出来；测评认证总体文本修订与原标准结论严密。 中心

对文本引用的标准进展了统一，对标准中涉及到的ISO/IEC21827：承受 202315288等标准的关系进展了细致阐述。4.非编制角度；详述修改的内容和理由修改承受在正文的前言和编制说明中明细；文中翻译不统一在前言中应标明国际标准修改承受和或精炼概述；图示应汉化。式进展修改；文字需要进一步细化严文要全都统一。

原信息安全测评认证中心阿里云计算国家信息技术安全争论中心中国电子技术标准化争论院

对编制说明内容进展调整，从修订角度的主要内容进展阐述；对修订承受的内容进展详述对文本的正文前言和编制说明进展承受 细化，对文中翻译进展统一。突出了本次是修订国家标准，修改承受国际标准，编制说明中增加了承受 修订标准的理由，对原标准背景进展描述，对文本中的内容进展了精简，图片进展了汉化。明确了本次标准是修订标准，对文本正文进展细化，对术语进展了统承受 一。2023年10月182023年10月15日专家组意见对标准进展修订。二、 标准编制原则和确定主要内容的论据及解决的主要问题本标准编制原则有4个，参考多个国内、外的标准方法论结合中国系统安全理论方法。1、标准编制原则如下：制的标准思路清楚、规律合理、文本标准、内容完整；编制，力求标准在具体执行中操作性和有用性强；关系，力求到达编制标准的不同使用方的协调全都和标准之间的协调统一；d)科学性与先进性：借助于国际上在信息安全保障和力气成熟度等方面的科学方法及思路，进展标准文本的设计和编写。2、标准主要内容的理论依据及解决的问题如下：对原标准GB/T20261-2023《信息技术系统安全工程力气成熟度模型》力气成熟模型中域维、力气维以及资源配置的关系进展梳理；对第七章中11个过程域注释进展重解读，对其中过于抽象信息进展去11个过程域之间的内在关系进展细致阐述；通用惯例行进重梳理；对附录B、国内系统安全工程效劳实际状况不符内容进展修订；对安全工程力气成熟度模型的评价对象进展再细化，由老版标准的针对价方法，增加对单个过程域、多个过程域组合的效劳形式的评价方法等。三、主要试验[或验证]状况分析无。无。五、产业化状况、推广应用论证和预期到达的经济效果中国信息安全测评中心从2023年开头运作信息安全系统安全工程资质业利用本标准阐述的力气成熟度模型客观的评价了组织在信息安全效劳领域各类科学信息安全效劳所造成的不行估量的经济损失、政治影响。在此次针对GB/T20261—2023评工作中的大量阅历。ISO27001等治理标准到达为社会供给分类分级的效劳与产品的测评体系，科学的进展效劳和产品的测评。量，为整个行业的安康进展发挥了重要作用。六、承受国际标准和国外先进标准状况《信息技术安全技术系统安全工程力气成熟度模型®〔Informationtechnology—SecuritySecurityEngineeringCapabilityMaturityModel®〕〔SSE-CMM®〕，主要参考SSE-CMM中力气成熟度的思路，结合我国系统安全工程的实际状况进展构造系统安全工程力气成熟度模型。七、与现行相关法律、法规、规章及相关标准的协调性无八