2標(biāo)準(zhǔn)草案階段全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

1、國(guó)家標(biāo)準(zhǔn)草案稿資料國(guó)家標(biāo)準(zhǔn)信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型（修訂）編制說(shuō)明一、 工作簡(jiǎn)況1.1 任務(wù)來(lái)源2018年9月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）下達(dá)了制定信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型國(guó)家標(biāo)準(zhǔn)的專項(xiàng)項(xiàng)目任務(wù)書。項(xiàng)目的承擔(dān)單位是北京永信至誠(chéng)科技股份有限公司。2018年9月，北京永信至誠(chéng)科技股份有限公司啟動(dòng)了該項(xiàng)目，開始修訂信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型標(biāo)準(zhǔn)文檔。1.2主要起草單位和工作組成員本標(biāo)準(zhǔn)主要由北京永信至誠(chéng)科技股份有限公司起草，參加單位有：中國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部第三研究所、國(guó)家信息中心、北京江南天安科技有限公

2、司、阿里巴巴（北京）軟件服務(wù)有限公司。本標(biāo)準(zhǔn)主要起草人：孫明亮、李斌、位華、王琰、蔡晶晶、余慧英、李煒、楊建軍、上官曉麗、任衛(wèi)紅、陳永剛、陳冠直等。 1.3主要工作過(guò)程1.3.1項(xiàng)目啟動(dòng)國(guó)家標(biāo)準(zhǔn)GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程能力成熟度模型已經(jīng)運(yùn)行多年，該標(biāo)準(zhǔn)為修訂采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 21827:2002，隨著國(guó)內(nèi)信息安全形勢(shì)的發(fā)展，已經(jīng)不完全適用于國(guó)內(nèi)信息安全行業(yè)，與國(guó)內(nèi)信息安全服務(wù)存在諸多不適應(yīng)之處。為了推動(dòng)信息技術(shù) 系統(tǒng)安全工程能力成熟度模型標(biāo)準(zhǔn)化工作的進(jìn)展，北京永信至誠(chéng)科技股份有限公司、中國(guó)信息安全測(cè)評(píng)中心等項(xiàng)目組內(nèi)部開始進(jìn)行有關(guān)系統(tǒng)安全工程標(biāo)準(zhǔn)和方法的研究工

3、作。本次修訂工作主要是修改采用ISO/IEC 21827:2008 信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model）（SSE-CMM®），結(jié)合國(guó)內(nèi)最優(yōu)安全實(shí)踐修訂國(guó)家標(biāo)準(zhǔn)GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程能力成熟度模型。本次在修訂過(guò)程中，對(duì)于ISO/IEC 21827:2008引用的國(guó)際標(biāo)準(zhǔn)中已經(jīng)撤銷、以及舊版本的進(jìn)行更新，以及對(duì)于GB/T20261-2006中已

4、經(jīng)撤銷、以及舊版本的進(jìn)行更新，對(duì)相關(guān)術(shù)語(yǔ)、內(nèi)容與最新國(guó)際、國(guó)家標(biāo)準(zhǔn)進(jìn)行核實(shí)、更新。2018年9月，經(jīng)全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)專家評(píng)審?fù)ㄟ^(guò)，信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型標(biāo)準(zhǔn)編制項(xiàng)目正式立項(xiàng)。標(biāo)準(zhǔn)編制任務(wù)下達(dá)后，由本項(xiàng)目負(fù)責(zé)人組織相關(guān)技術(shù)人員立即成立了標(biāo)準(zhǔn)編制小組，正式啟動(dòng)信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型編制工作。1.3.2標(biāo)準(zhǔn)草案階段2018年9月形成信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型第一稿。2018年10月15日參加全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)專家評(píng)審，與會(huì)專家對(duì)本標(biāo)準(zhǔn)給予了修改意見。序號(hào)意見內(nèi)容提出單位處理意見備注1.草案中部分注解不符合國(guó)內(nèi)習(xí)慣，建議修改或刪除；部分圖例中英

5、文建議改成中文、重畫；修訂的內(nèi)容與原標(biāo)準(zhǔn)之間的說(shuō)明，比較在編制說(shuō)明進(jìn)行論述。中國(guó)信息測(cè)評(píng)中心采納對(duì)圖例完全變成中文，對(duì)標(biāo)準(zhǔn)的修訂內(nèi)容進(jìn)行了細(xì)化，編制說(shuō)明中內(nèi)容進(jìn)行更新2.編制說(shuō)明補(bǔ)充與國(guó)際標(biāo)準(zhǔn)的關(guān)系，標(biāo)準(zhǔn)新舊版本的差異；標(biāo)準(zhǔn)文本要認(rèn)真校對(duì)、統(tǒng)一術(shù)語(yǔ)；建議刪去5.4條中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納補(bǔ)充與國(guó)際標(biāo)準(zhǔn)的關(guān)系，對(duì)術(shù)語(yǔ)進(jìn)行更新、校對(duì)，刪除了5.4章節(jié)3.文本的引用標(biāo)準(zhǔn)不夠統(tǒng)一予以補(bǔ)充；此標(biāo)準(zhǔn)文本與21827、15288標(biāo)準(zhǔn)的關(guān)系沒(méi)講清楚；修改的內(nèi)容應(yīng)突出出來(lái)；總體文本修訂與原標(biāo)準(zhǔn)結(jié)論緊密。原解放軍信息安全測(cè)評(píng)認(rèn)證中心采納對(duì)文本引用的標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一，對(duì)標(biāo)準(zhǔn)中涉及到的ISO/IEC 21827：

6、2008、15288等標(biāo)準(zhǔn)的關(guān)系進(jìn)行了細(xì)致闡述。4.編制說(shuō)明第一、二章敘述從修訂角度而非編制角度；詳述修改的內(nèi)容和理由原解放軍信息安全測(cè)評(píng)認(rèn)證中心采納對(duì)編制說(shuō)明內(nèi)容進(jìn)行調(diào)整，從修訂角度的主要內(nèi)容進(jìn)行闡述；對(duì)修訂的內(nèi)容進(jìn)行詳述5.修改采用在正文的前言和編制說(shuō)明中明細(xì)；文中翻譯不統(tǒng)一阿里云計(jì)算有限公司采納對(duì)文本的正文前言和編制說(shuō)明進(jìn)行細(xì)化，對(duì)文中翻譯進(jìn)行統(tǒng)一。6.在前言中應(yīng)標(biāo)明國(guó)際標(biāo)準(zhǔn)修改采用和對(duì)國(guó)家標(biāo)準(zhǔn)的修改；編制說(shuō)明中說(shuō)明修改和修改的內(nèi)容與理由；對(duì)原國(guó)際標(biāo)準(zhǔn)過(guò)往的背景描述、過(guò)程敘述等對(duì)應(yīng)裁剪或精煉概述；圖示應(yīng)漢化。國(guó)家信息技術(shù)安全研究中心采納突出了本次是修訂國(guó)家標(biāo)準(zhǔn)，修改采用國(guó)際標(biāo)準(zhǔn)，編制說(shuō)明

7、中增加了修訂標(biāo)準(zhǔn)的理由，對(duì)原標(biāo)準(zhǔn)背景進(jìn)行描述，對(duì)文本中的內(nèi)容進(jìn)行了精簡(jiǎn)，圖片進(jìn)行了漢化。7.明確標(biāo)準(zhǔn)是修訂標(biāo)準(zhǔn)，按照修訂標(biāo)準(zhǔn)格式進(jìn)行修改；文字需要進(jìn)一步細(xì)化嚴(yán)謹(jǐn)；翻譯痕跡嚴(yán)重需要本地化；術(shù)語(yǔ)全文要一致統(tǒng)一。中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納明確了本次標(biāo)準(zhǔn)是修訂標(biāo)準(zhǔn)，對(duì)文本正文進(jìn)行細(xì)化，對(duì)術(shù)語(yǔ)進(jìn)行了統(tǒng)一。2018年10月18日標(biāo)準(zhǔn)修訂組召開內(nèi)部會(huì)議，針對(duì)2018年10月15日專家組意見對(duì)標(biāo)準(zhǔn)進(jìn)行修訂。2018年10月23日參加全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)2018年度第二次會(huì)議周，會(huì)議上向WG5組做工作匯報(bào)，形成本標(biāo)準(zhǔn)推進(jìn)到征求意見稿階段的結(jié)論。序號(hào)意見內(nèi)容提出單位處理意見備注8.建議繼續(xù)完善標(biāo)準(zhǔn)文本，目前

8、標(biāo)準(zhǔn)文本過(guò)于累贅。國(guó)家電網(wǎng)公司信息安全實(shí)驗(yàn)室（中國(guó)電力科學(xué)研究院）采納對(duì)標(biāo)準(zhǔn)文本進(jìn)行了精簡(jiǎn)9.圖例描述的不是很清楚，例如圖2風(fēng)險(xiǎn)，不能完全表達(dá)意思；6.2.2中翻譯過(guò)來(lái)的描述需要注意，中文11個(gè)部分已經(jīng)不是按字母順序排序了西門子（中國(guó)）有限公司采納對(duì)圖例的描述進(jìn)行了細(xì)化，對(duì)11PA過(guò)程域重新調(diào)整為按字母順序進(jìn)行排序10.本標(biāo)準(zhǔn)修改采用ISO/IEC 21827:2008, 建議在前言部分明確說(shuō)明修改的內(nèi)容。微軟（中國(guó)）有限公司采納對(duì)修改采用ISO/IEC 21827:2008的內(nèi)容進(jìn)行了細(xì)化11.能力成熟度模型的分類描述不清楚，標(biāo)準(zhǔn)成文不像是一個(gè)標(biāo)準(zhǔn)的格式中國(guó)工程物理研究院電子工程研究所部分采

9、納對(duì)標(biāo)準(zhǔn)文本進(jìn)行了精簡(jiǎn)12.內(nèi)容還不夠成熟，建議繼續(xù)完善工業(yè)和信息化部電信研究院采納進(jìn)一步細(xì)化了文本13.建議適當(dāng)精簡(jiǎn)文稿的篇幅長(zhǎng)度甲骨文軟件研究開發(fā)中心（北京）有限公司采納進(jìn)一步精簡(jiǎn)文本14.標(biāo)準(zhǔn)內(nèi)容有待提煉并且需要描述清晰浪潮電子信息產(chǎn)業(yè)股份有限公司采納進(jìn)一步精簡(jiǎn)文本2018年11月6日標(biāo)準(zhǔn)修訂組召開內(nèi)部工作組會(huì)議，針對(duì)全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)2018年度青島會(huì)議周WG5組專家提出的修改意見進(jìn)行討論。2018年11月12日標(biāo)準(zhǔn)修訂組召開內(nèi)部會(huì)議，對(duì)標(biāo)準(zhǔn)文本進(jìn)行征求意見稿階段前的進(jìn)一步討論。2018年10月21日參加全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)專家評(píng)審，與會(huì)專家對(duì)本標(biāo)準(zhǔn)給予了修改意見，建議推薦形

10、成征求意見稿。序號(hào)意見內(nèi)容提出單位處理意見備注15.編制說(shuō)明需要增加背景介紹及修改主要部分，工作過(guò)程中每次會(huì)議收集主要意見如何處理情況；意見匯總表采納補(bǔ)充修改情況；標(biāo)準(zhǔn)文本譯文不夠準(zhǔn)確建議推敲后完善；標(biāo)準(zhǔn)名稱中信息技術(shù)建議改成信息安全技術(shù)，建議編制組與秘書處溝通一下情況，可先改名稱。公安部三所部分采納在編制說(shuō)明中增加了每次會(huì)議意見及處置情況，對(duì)標(biāo)準(zhǔn)文本進(jìn)行了進(jìn)一步完善，對(duì)于將標(biāo)準(zhǔn)名稱“信息技術(shù)”改為“信息安全技術(shù)”在2018年10月15日的信安標(biāo)委的會(huì)議上已經(jīng)進(jìn)行了討論，會(huì)議專家對(duì)于名稱的更改已經(jīng)進(jìn)行否定16.規(guī)范性引用文件進(jìn)行梳理建議修改參考；中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心采納已經(jīng)對(duì)規(guī)范性文

11、件進(jìn)行了梳理17.確定系統(tǒng)安全來(lái)龍去脈、捕獲系統(tǒng)運(yùn)行的安全視圖建議類似翻譯內(nèi)容修改為常用可理解的簡(jiǎn)化內(nèi)容中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心采納對(duì)文本內(nèi)容進(jìn)行了細(xì)化、精簡(jiǎn)，18.標(biāo)準(zhǔn)中翻譯內(nèi)容建議符合國(guó)內(nèi)習(xí)慣、本土化；注釋可以使用中文習(xí)慣。中國(guó)信息測(cè)評(píng)中心采納對(duì)文本內(nèi)容進(jìn)行細(xì)化、本地化、精簡(jiǎn)19.規(guī)范性引用標(biāo)準(zhǔn)文件建議全文搜索，沒(méi)有使用到文件建議列為參考文件中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院采納20.識(shí)別系統(tǒng)的目的，以便確定龍去脈。缺字情況屬于格式問(wèn)題；漏掉一條青島會(huì)議意見建議補(bǔ)充；標(biāo)準(zhǔn)文本過(guò)于累贅像是講故事，7.2.5.3注釋還有例子不像標(biāo)準(zhǔn)文本內(nèi)容。中國(guó)電力科學(xué)院采納對(duì)標(biāo)準(zhǔn)文本進(jìn)行細(xì)化、精簡(jiǎn)，青島會(huì)議漏掉

12、意見進(jìn)行補(bǔ)充處置21.標(biāo)準(zhǔn)文中翻譯不要直譯，專有名詞建議反復(fù)推敲形成術(shù)語(yǔ)；意見匯總表每條意見進(jìn)行說(shuō)明不要合并。阿里云技術(shù)有限公司對(duì)文本內(nèi)容進(jìn)行精簡(jiǎn)、提煉二、 標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題本標(biāo)準(zhǔn)編制原則有4個(gè)，參考多個(gè)國(guó)內(nèi)、外的標(biāo)準(zhǔn)方法論結(jié)合中國(guó)系統(tǒng)安全工程的實(shí)際情況為標(biāo)準(zhǔn)編寫提供了大量的依據(jù)，本標(biāo)準(zhǔn)編寫的目的主要是為規(guī)范我國(guó)信息安全服務(wù)行業(yè)的服務(wù)行為，為系統(tǒng)安全工程能力的評(píng)判提供一個(gè)科學(xué)的理論方法。1、標(biāo)準(zhǔn)編制原則如下：a) 規(guī)范性：嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到編制的標(biāo)準(zhǔn)思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整； b) 可操作性和實(shí)用性：利用多年的實(shí)踐

13、經(jīng)驗(yàn)，結(jié)合行業(yè)現(xiàn)狀進(jìn)行標(biāo)準(zhǔn)的編制，力求標(biāo)準(zhǔn)在具體執(zhí)行中操作性和實(shí)用性強(qiáng)； c）協(xié)調(diào)一致性：廣泛征求業(yè)界專家的意見，同時(shí)充分考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，力求達(dá)到編制標(biāo)準(zhǔn)的不同使用方的協(xié)調(diào)一致和標(biāo)準(zhǔn)之間的協(xié)調(diào)統(tǒng)一； d) 科學(xué)性與先進(jìn)性：借助于國(guó)際上在信息安全保障和能力成熟度等方面的科學(xué)方法及思路，進(jìn)行標(biāo)準(zhǔn)文本的設(shè)計(jì)和編寫。2、標(biāo)準(zhǔn)主要內(nèi)容的理論依據(jù)及解決的問(wèn)題如下：a）對(duì)原標(biāo)準(zhǔn)GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型中第六章安全工程三個(gè)領(lǐng)域的內(nèi)涵及三者之間的內(nèi)涵關(guān)系進(jìn)行細(xì)化，對(duì)安全工程能力成熟模型中域維、能力維以及資源配置的關(guān)系進(jìn)行梳理；b）對(duì)第七章中11個(gè)過(guò)程域注釋進(jìn)行重

14、新解讀，對(duì)其中過(guò)于抽象信息進(jìn)行去除，結(jié)合國(guó)內(nèi)外的最優(yōu)實(shí)踐進(jìn)行對(duì)應(yīng)，對(duì)每個(gè)過(guò)程域中的基本實(shí)踐在過(guò)程域中發(fā)揮的作用與國(guó)內(nèi)實(shí)踐信息進(jìn)行匹配，以及對(duì)11個(gè)過(guò)程域之間的內(nèi)在關(guān)系進(jìn)行細(xì)致闡述；c）對(duì)附錄A中能力等級(jí)的公共特征與國(guó)際最新標(biāo)準(zhǔn)進(jìn)行匹配，對(duì)公共特征的通用慣例行進(jìn)重新梳理；d）對(duì)附錄B中的基本慣例內(nèi)容進(jìn)行重新梳理，對(duì)不符合國(guó)內(nèi)外最新研究成果、國(guó)內(nèi)系統(tǒng)安全工程服務(wù)實(shí)際情況不符內(nèi)容進(jìn)行修訂；e）對(duì)安全工程能力成熟度模型的評(píng)價(jià)對(duì)象進(jìn)行再細(xì)化，由老版標(biāo)準(zhǔn)的針對(duì)整個(gè)安全工程全生命周期評(píng)價(jià)方法，增加針對(duì)我國(guó)現(xiàn)有安全服務(wù)的實(shí)際情況的評(píng)價(jià)方法，增加對(duì)單個(gè)過(guò)程域、多個(gè)過(guò)程域組合的服務(wù)形式的評(píng)價(jià)方法等。三、主要試驗(yàn)或

15、驗(yàn)證情況分析無(wú)。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明無(wú)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果信息安全測(cè)評(píng)中心依據(jù)中央編辦賦予的業(yè)務(wù)職能，自2002年起開展信息安全服務(wù)資質(zhì)業(yè)務(wù)。從2007年開始運(yùn)作信息安全系統(tǒng)安全工程資質(zhì)業(yè)務(wù)，至今已經(jīng)基本覆蓋了我國(guó)從事系統(tǒng)安全工程的組織，利用本標(biāo)準(zhǔn)闡述的能力成熟度模型客觀的評(píng)價(jià)了組織在信息安全服務(wù)領(lǐng)域各類型服務(wù)的能力，獲得系統(tǒng)安全工程企業(yè)的普遍認(rèn)同，為國(guó)家各行業(yè)對(duì)系統(tǒng)安全工程的采購(gòu)提供了有力依據(jù)，為系統(tǒng)安全工程的提供方提供科學(xué)的評(píng)價(jià)自身能力水平的方法，對(duì)于規(guī)范系統(tǒng)安全工程行業(yè)起到了強(qiáng)有力的指導(dǎo)作用，避免了采購(gòu)不科學(xué)信息安全服務(wù)所造成的不可估量的經(jīng)濟(jì)損失、政治影響。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況采用的國(guó)際標(biāo)準(zhǔn)主要為：ISO/IEC 21827:2008信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model®）（SSE-CMM®），主要參考SSE-CMM中能力成熟度的思路，結(jié)合我國(guó)系統(tǒng)安全工程的實(shí)際情況進(jìn)行構(gòu)造系統(tǒng)安全工程能力成熟度模型。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)