GB/T 20261-2020 信息安全技术 系统安全工程 能力成熟度模型

ICS35040

L80.

中华人民共和国国家标准

GB/T20261—2020

代替

GB/T20261—2006

信息安全技术系统安全工程

能力成熟度模型

Informationsecuritytechnology—Systemsecurityengineering—

Capabilitymaturitymodel

(ISO/IEC21827:2008,Informationtechnology—Securitytechniques—

Systemssecurityengineering—Capabilitymaturitymodel,MOD)

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T20261—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概要

0.1…………………Ⅳ

如何使用

0.2SSE-CMM?…………Ⅴ

使用的好处

0.3SSE-CMM…………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………2

系统安全工程概述

4………………………6

安全工程的开发背景

4.1………………6

安全工程的重要性

4.2…………………7

安全工程组织

4.3………………………7

安全工程生存周期

4.4…………………7

安全工程和其他学科

4.5………………8

安全工程专业

4.6………………………8

模型体系结构

5……………8

安全工程过程概述

5.1…………………8

体系结构描述

5.2SSE-CMM………………………11

汇总表

5.3………………19

安全基本实践

6……………19

安全基本实践概述

6.1…………………19

管理安全控制

6.2PA01———…………20

评估影响

6.3PA02———………………23

评估安全风险

6.4PA03———…………26

评估威胁

6.5PA04———………………30

评估脆弱性

6.6PA05———……………33

建立保障论据

6.7PA06———…………36

协调安全

6.8PA07———………………39

监视安全态势

6.9PA08———…………41

提供安全输入

6.10PA09———…………45

确定安全需要

6.11PA10———…………49

验证和确认安全

6.12PA11———………………………53

附录资料性附录本标准与相比的结构变化情况

A()ISO/IEC21827:2008………56

附录资料性附录本标准与的技术性差异及其原因

B()ISO/IEC21827:2008……59

附录规范性附录通用实践

C()…………61

Ⅰ

GB/T20261—2020

总则

C.1…………………61

能力等级基本执行

C.21———…………61

能力等级计划跟踪

C.32———…………62

能力等级充分定义

C.43———…………67

能力等级量化控制

C.54———…………71

能力等级持续改进

C.65———…………73

附录规范性附录项目与组织基本实践

D()……………76

综述

D.1…………………76

一般安全注意事项

D.2…………………76

确保质量

D.3PA12———………………76

管理配置

D.4PA13———………………81

管理项目风险

D.5PA14———…………84

监督和控制技术工作

D.6PA15———…………………88

策划技术工作

D.7PA16———…………90

定义组织系统工程过程

D.8PA17———………………96

改进组织系统工程过程

D.9PA18———………………99

管理产品线演化

D.10PA19———……………………101

管理系统工程支持环境

D.11PA20———……………104

提供持续发展的技能和知识

D.12PA21———………107

与供方协调

D.13PA22———…………112

附录资料性附录能力成熟度模型概念

E()…………116

概述

E.1………………116

过程改进

E.2…………………………116

预期结果

E.3…………………………117

常见误解

E.4…………………………117

关键概念

E.5…………………………118

附录资料性附录信息安全服务与安全工程过程域对应表

F()……122

附录资料性附录与主要变化对比表

G()GB/T20261—XXXXGB/T20261—2006……………123

参考文献

……………………127

Ⅱ

GB/T20261—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息技术系统安全工程能力成熟度模型与

GB/T20261—2006《》,GB/T20261—

相比主要技术变化如下主要变化对比表见附录

2006,(G):

修改了部分规范性引用文件见第章年版的第章

———(2,20062);

增加了术语和定义即基本实践能力信息安全事态信息安全事件过程域风险管

———,“”“”“”“”“”“

理

”;

修改了术语和定义中保障工程组工作产品的定义并把残留风险修改为残余风险

———“”“”“”;“”“”

见第章年版的第章

(3,20063);

删除了术语惯例见年版的

———“”(20063.24);

修改了部分章条标题合并调整和删除了部分内容关联和不适合作为国家标准的内容见

———,、(

4.1、4.2、4.3、4.4、4.5、4.6、5.1);

删除了原第章原第章第章调整为第章第章年版的第章第章第

———5,6、75、6(20065,6、7

章

);

增加了第章中定义安全测量以及相对于

———6BP.06.03,ISO/IEC21827:2008ISO/IEC21827:

增加及修订的内容见第章

2002(6);

增加了附录和附录见附录附录

———AB(A、B);

修改了附录中对能力等级的个级别的定义与现行标准等标准描述一致

———C5,GB/T30271;

修改了附录中的系列过程域编号与过程域描述不匹配的错误信息见

———D(D.6.1.1、D.7.7.3、

D.9.3.3、D.11.1.1、D.11.4、D.11.4.1、D.12.3.1);

增加了附录中为便于标准模型与现行安全服务映射关系的附录见附录

———F(F);

增加了与的主要变化对比表见附录

———GB/T20261—2006(G)。

本标准使用重新起草法修改采用信息技术安全技术系统安全工程能

ISO/IEC21827:2008《

力成熟度模型

》。

本标准与相比在结构上有一定调整附录中列出了本标准与

ISO/IEC21827:2008,AISO/IEC

的章条标号对照一览表

21827:2008。

本标准与相比存在技术性差异附录中给出了相应的技术差异及原因的

ISO/IEC21827:2008,B

一览表

。

本标准做了下列编辑性修改

:

将标准名称修改为信息安全技术系统安全工程能力成熟度模型

———《》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位北京永信至诚科技股份有限公司中国信息安全测评中心中新网络信息安全股

:、、

份有限公司中国电子技术标准化研究院北京天融信网络安全技术有限公司北京奇安信科技有限公

、、、

司北京江南天安科技有限公司公安部第三研究所国家信息中心北京邮电大学北京启明星辰信息

、、、、、

安全技术有限公司

。

本标准主要起草人孙明亮朱胜涛王军温哲李斌位华王琰张晓菲蔡晶晶陈冠直王龑

:、、、、、、、、、、、

郭颖郑新华杨建军刘贤刚上官晓丽许玉娜任卫红袁静高亚楠余慧英李小勇吕俐丹侯晓雄

、、、、、、、、、、、、、

米凯吴璇乔鹏刘蕾杰梁峰

、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T20261—2006。

Ⅲ

GB/T20261—2020

引言

本标准依据国际标准最新版本结合国内最优实践从系统安全工程的科

(ISO/IEC21827:2008),,

学性和可指导性出发进行修订对标准术语安全工程过程域及能力维进行更新和优化

,、。

01概要

.

在计算机程序开发中无论是操作系统软件安全管理和执行功能软件应用程序中间件

———、、、———

各种各样的组织都在实践安全工程因此产品开发者服务提供者系统集成者系统管理者甚至是

。,、、、,

安全专家都要求有合适的方法和实践部分组织关注高层次问题例如涉及运行使用或系统体系结

。(

构另一部分组织则涉及低层次问题例如机构选择或者设计还有些组织两者都涉及许多组织可

),(,),。

能专门研究某种特定类型的技术或者某个专业范畴例如航海

,(,)。

1)是针对所有此类组织而设计的使用并不意味着一个组织就比另一个

SSE-CMM。SSE-CMM

组织更关注安全也不意味着任何使用方法是必需的组织的业务核心也不会因为使用

,SSE-CMM。

而发生偏离

SSE-CMM。

根据组织的业务核心使用某些而不是全部已定义的安全工程实践除此之外组织可能需要考

,()。,

虑模型范围内不同实践之间的关系以确定它们的可用性下面的例子说明了各种不同的组织可以把

,。

用于软件系统设备开发和运行

SSE-CMM、、。

本标准与过程评估系列标准系列特别是有关因为它们都涉

(ISO/IEC330XX),ISO/IEC33020,

及过程改进和能力成熟度评估但是过程评估系列标准适用于所有过程而则专注于安

。,,SSE-CMM

全性

。

安全服务提供者

1)

为了测量一个组织执行风险评估的过程能力要使用几组不同的实践在系统开发或集成期间可

,。,

能需要评估该组织在确定和分析安全脆弱性以及评估运行影响方面的能力在系统运行期间下可能

。,

需要评估该组织在监视系统安全态势识别和分析安全脆弱性以及评估运行影响方面的能力

、。

对策开发者

2)

在一个组专注对策开发的情况下可能要通过的实践组合来描述组织的过程能力特

,SSE-CMM

性该模型包含若干提出确定和分析安全脆弱性评估运行影响以及向涉及的其他组例如软件组提

。、()

供输入和指南的实践提供制定对策服务的组需要理解这些实践之间的关系

。。

产品开发者

3)

包含部分专门针对理解客户安全需要的实践要求与客户反复商讨以便确定这些需

SSE-CMM。,

要如果某个产品的开发不受特定客户的约束该产品的客户就是通用客户在这种情况下如果要求

。,。,

考虑客户可以把产品营销组或其他组作为假想的客户

,。

安全工程专业人员都理解产品背景和产品开发方法随产品本身的变化而变化不过已经知道有

,。,

一些与产品和项目背景有关的问题对产品的构思生产交付和维护方法有影响下列问题对

、、。SSE-

特别有意义

CMM:

客户基本类型产品系统和服务

●(、);

和均是美国卡内基梅隆大学的服务商标受相关法律和法规的

1)CMMCapabilityMaturityModel·(CMU),

保护

。

Ⅳ

GB/T20261—2020

保障要求高与低

●();

对开发和运行组织的支持

●。

下面讨论两个不同客户群之间的差异保证要求的不同程度以及中每个差异的影响

,SSE-CMM。

这些是作为组织或行业部门如何确定在其环境中正确使用的示例

SSE-CMM。

特定的行业部门

4)

各个行业反映了其特定的文化术语和交流风格通过尽可能降低角色相关性和组织结构关联性

、。,

可预见的概念可以容易地在所有行业部门中转化成其自身的语言和文化

SSE-CMM。

02如何使用SSE-CMM

.?

和应用该模型的方法例如评估方法的预期用途如下

SSE-CMM(:):

工具工程组织用于评价其安全工程实践和定义改进

●———;

方法安全工程评价组织例如认证机构和评价机构用于确定组织能力作为系统或产品

●———()(

安全保障的收入信任度

);

标准机制客户用于评价提供者的安全工程能力

●———。

评估范围应由评估机构确定如果有必要应与评估人员讨论

,。

如果使用模型和评估方法的用户透彻地理解模型的正确使用法及其内在的限制条件则在应用模

,

型进行自我改进和选择供方的过程中可使用该评价技术