《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)是2021年6月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)給岀了系統安全工程能力成熟度模型(以下簡稱SSE-CMM)是一個過程參考模型,它關注信息技術安全(ITS)領域內的某個系統或者若干相關係統實現安全的要求。在ITS領域內,SSE-CMM關注的是用來實現ITS的過程,尤其是這些過程的成熟度。SSE-CMM的目的不是規定組織使用的具體過程,更不會涉及具體的方法,而是希望準備使用SSE-CMM的組織利用其現有的過程——那些以其他任何信息技術安全指導檔案為基礎的過程。
基本介紹
- 中文名:信息技術—系統安全工程—能力成熟度模型
- 外文名:Information security technology—System security engineering—capability maturity model
- 標準號:GB/T 20261-2020
- 發布日期:2020-11-19
- 實施日期:2021-06-01
- 全部代替標準:GB/T 20261-2006
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,編制進程,修訂依據,修訂情況,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 準計畫
2019年10月24日,國家標準計畫《信息技術—系統安全工程—能力成熟度模型》(20193258-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年11月19日,國家標準《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年6月1日,國家標準《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)實施。
修訂依據
國家標準《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
該標準修改採用ISO/IEC國際標準:《信息技術—安全技術—系統安全工程能力成熟度模型》(ISO/IEC 21827:2008)。
修訂情況
《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)代替《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2006),與《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2006)相比,主要技術變化如下:
- 修改了部分規範性引用檔案;
- 增加了術語和定義,即“基本實踐”“能力”“信息安全事態”“信息安全事件”“過程域”“風險管修改了術語和定義中“保障”“工程組”“工作產品”的定義;並把“殘留風險”修改為“殘餘風險”;
- 刪除了術語“慣例”;
- 修改了部分章條標題,合併、調整和刪除了部分內容關聯和不適合作為國家標準的內容;
- 刪除了原第5章,原第6章、第7章調整為第5章、第6章;
- 增加了第6章中BP.06.03定義安全測量,以及ISO/TEC 21827:2008相對於ISO/IEC 21827:2002增加及修訂的內容;
- 增加了附錄A和附錄B;
- 修改了附錄C中對能力等級的5個級別的定義,與現行標準GB/T 30271等標準描述一致;
- 修改了附錄D中的系列過程域編號與過程域描述不匹配的錯誤信息;
- 增加了附錄中為便於標準模型與現行安全服務映射關係的附錄F;
- 增加了與GB/T 20261-2006的主要變化對比表。
起草工作
主要起草單位:北京永信至誠科技股份有限公司、中國信息安全測評中心、中新網路信息安全股份有限公司、中國電子技術標準化研究院、北京天融信網路安全技術有限公司、北京奇安信科技有限公司、北京江南天安科技有限公司、公安部第三研究所、國家信息中心、北京郵電大學、北京啟明星辰信息安全技術有限公司。
主要起草人:孫明亮、朱勝濤、王軍、溫哲、李斌、位華、王琰、張曉菲、蔡晶晶、陳冠直、王龑、郭穎、鄭新華、楊建軍、劉賢剛、上官曉麗、許玉娜、任衛紅、袁靜、高亞楠、余慧英、李小勇、呂俐丹、侯曉雄、米凱、吳璇、喬鵬、劉蕾傑、梁峰。
標準目次
前言 | Ⅲ |
|---|---|
引言 | Ⅳ |
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 2 |
4系統安全工程概述 | 6 |
5模型體系結構 | 8 |
6安全基本實踐 | 19 |
附錄A(資料性附錄)該標準與ISO/IEC21827:2008相比的結構變化情況 | 56 |
附錄B(資料性附錄)該標準與ISO/IEC21827:2008的技術性差異及其原因 | 59 |
附錄C(規範性附錄)通用實踐 | 61 |
附錄D(規範性附錄)項目與組織基本實踐 | 76 |
附錄E(資料性附錄)能力成熟度模型概念 | 116 |
附錄F(資料性附錄)信息安全服務與安全工程過程域對應表 | 122 |
附錄G(資料性附錄)GB/T 20261-XXXX與GB/T 20261-2006主要變化對比表 | 123 |
參考文獻 | 127 |
參考資料:
內容範圍
《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)給岀了系統安全工程能力成熟度模型(以下簡稱SSE-CMM)是一個過程參考模型,它關注信息技術安全(ITS)領域內的某個系統或者若干相關係統實現安全的要求。在ITS領域內,SSE-CMM關注的是用來實現ITS的過程,尤其是這些過程的成熟度。SSE-CMM的目的不是規定組織使用的具體過程,更不會涉及具體的方法,而是希望準備使用SSE-CMM的組織利用其現有的過程——那些以其他任何信息技術安全指導檔案為基礎的過程。
該標準界定了SSE-CMM是專門用於改進和評估安全工程能力的模型,不能獨立於其他工程學科開展安全工程活動。相反,SSE-CMM認為安全已經滲透到所有的工程學科領域(例如系統、軟體和硬)並且通過定義模型部件來處理這類利害關係,從而促進這類學科間的整合。公共特徵“協調安全實踐”承認有必要使安全與所有涉及某個項目的或者共同處於某個組織內的學科和組整合在一起。與之類似,過程域“協調安全”定義了用於協調安全工程活動的目標和機制。
該標準適用於及整個生存周期的安全產品或可信系統的系統安全工程活動:概念定義、需求分析、設計、開發、集成、安裝、運行、維護以及最終退役;對產品開發人員、安全系統開發人員和集成商,以及提供計算機安全服務和計算機安全工程組織的要求;政府部門、商業界、學術界的各種類型和規模的安全工程組織;系統安全工程的需求方、提供方和評估方。
引用檔案
GB/T 18336.1-2015 信息技術—安全技術—信息技術安全性評估準則—第1部分:簡介和一般模型(ISO/IEC 15408-1:2009,IDT) GB/T 25069-2010 信息安全技術—術語 GB/T 29246-2017 信息技術—安全技術—信息安全管理體系—概述和辭彙(ISO/IEC 22016,IDT) GB/T 30271-2013 信息安全技術—信息安全服務能力評估準 ISO/lEC 15288 系統和軟體工程—系統生存周期過程(Systems and software engineering—System life cycle processes) ISO/IEC 33020 信息技術—過程評估—過程評估的過程測量框架(Information technology—Process assessment—Process measurement framework for assessment of process capability) |
參考資料:
意義價值
《信息技術—系統安全工程—能力成熟度模型》(GB/T 20261-2020)的修訂,有利於一步發揮該標準在行業內對提供安全工程服務的指導作用,進一步提高服務提供方的服務規範性,服務需求方對服務採購的採購依據的科學性,服務評價方對服務提供方的客觀評價;提高中國整體的系統安全工程服務水平,規範行業內的安全服務活動。
