GB/T 20261-2020信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T20261—2020

代替

GB/T20261—2006

信息安全技術(shù)系統(tǒng)安全工程

能力成熟度模型

Informationsecuritytechnology—Systemsecurityengineering—

Capabilitymaturitymodel

(ISO/IEC21827:2008,Informationtechnology—Securitytechniques—

Systemssecurityengineering—Capabilitymaturitymodel,MOD)

2020-11-19發(fā)布2021-06-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T20261—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

概要

0.1…………………Ⅳ

如何使用?

0.2SSE-CMM?…………Ⅴ

使用?的好處

0.3SSE-CMM…………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………2

系統(tǒng)安全工程概述

4………………………6

安全工程的開發(fā)背景

4.1………………6

安全工程的重要性

4.2…………………7

安全工程組織

4.3………………………7

安全工程生存周期

4.4…………………7

安全工程和其他學(xué)科

4.5………………8

安全工程專業(yè)

4.6………………………8

模型體系結(jié)構(gòu)

5……………8

安全工程過程概述

5.1…………………8

?體系結(jié)構(gòu)描述

5.2SSE-CMM………………………11

匯總表

5.3………………19

安全基本實(shí)踐

6……………19

安全基本實(shí)踐概述

6.1…………………19

管理安全控制

6.2PA01———…………20

評估影響

6.3PA02———………………23

評估安全風(fēng)險(xiǎn)

6.4PA03———…………26

評估威脅

6.5PA04———………………30

評估脆弱性

6.6PA05———……………33

建立保障論據(jù)

6.7PA06———…………36

協(xié)調(diào)安全

6.8PA07———………………39

監(jiān)視安全態(tài)勢

6.9PA08———…………41

提供安全輸入

6.10PA09———…………45

確定安全需要

6.11PA10———…………49

驗(yàn)證和確認(rèn)安全

6.12PA11———………………………53

附錄資料性附錄本標(biāo)準(zhǔn)與相比的結(jié)構(gòu)變化情況

A()ISO/IEC21827:2008………56

附錄資料性附錄本標(biāo)準(zhǔn)與的技術(shù)性差異及其原因

B()ISO/IEC21827:2008……59

附錄規(guī)范性附錄通用實(shí)踐

C()…………61

Ⅰ

GB/T20261—2020

總則

C.1…………………61

能力等級基本執(zhí)行

C.21———…………61

能力等級計(jì)劃跟蹤

C.32———…………62

能力等級充分定義

C.43———…………67

能力等級量化控制

C.54———…………71

能力等級持續(xù)改進(jìn)

C.65———…………73

附錄規(guī)范性附錄項(xiàng)目與組織基本實(shí)踐

D()……………76

綜述

D.1…………………76

一般安全注意事項(xiàng)

D.2…………………76

確保質(zhì)量

D.3PA12———………………76

管理配置

D.4PA13———………………81

管理項(xiàng)目風(fēng)險(xiǎn)

D.5PA14———…………84

監(jiān)督和控制技術(shù)工作

D.6PA15———…………………88

策劃技術(shù)工作

D.7PA16———…………90

定義組織系統(tǒng)工程過程

D.8PA17———………………96

改進(jìn)組織系統(tǒng)工程過程

D.9PA18———………………99

管理產(chǎn)品線演化

D.10PA19———……………………101

管理系統(tǒng)工程支持環(huán)境

D.11PA20———……………104

提供持續(xù)發(fā)展的技能和知識

D.12PA21———………107

與供方協(xié)調(diào)

D.13PA22———…………112

附錄資料性附錄能力成熟度模型概念

E()…………116

概述

E.1………………116

過程改進(jìn)

E.2…………………………116

預(yù)期結(jié)果

E.3…………………………117

常見誤解

E.4…………………………117

關(guān)鍵概念

E.5…………………………118

附錄資料性附錄信息安全服務(wù)與安全工程過程域?qū)?yīng)表

F()……122

附錄資料性附錄與主要變化對比表

G()GB/T20261—XXXXGB/T20261—2006……………123

參考文獻(xiàn)

……………………127

Ⅱ

GB/T20261—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)代替信息技術(shù)系統(tǒng)安全工程能力成熟度模型與

GB/T20261—2006《》,GB/T20261—

相比主要技術(shù)變化如下主要變化對比表見附錄

2006,(G):

修改了部分規(guī)范性引用文件見第章年版的第章

———(2,20062);

增加了術(shù)語和定義即基本實(shí)踐能力信息安全事態(tài)信息安全事件過程域風(fēng)險(xiǎn)管

———,“”“”“”“”“”“

理

”;

修改了術(shù)語和定義中保障工程組工作產(chǎn)品的定義并把殘留風(fēng)險(xiǎn)修改為殘余風(fēng)險(xiǎn)

———“”“”“”;“”“”

見第章年版的第章

(3,20063);

刪除了術(shù)語慣例見年版的

———“”(20063.24);

修改了部分章條標(biāo)題合并調(diào)整和刪除了部分內(nèi)容關(guān)聯(lián)和不適合作為國家標(biāo)準(zhǔn)的內(nèi)容見

———,、(

4.1、4.2、4.3、4.4、4.5、4.6、5.1);

刪除了原第章原第章第章調(diào)整為第章第章年版的第章第章第

———5,6、75、6(20065,6、7

章

);

增加了第章中定義安全測量以及相對于

———6BP.06.03,ISO/IEC21827:2008ISO/IEC21827:

增加及修訂的內(nèi)容見第章

2002(6);

增加了附錄和附錄見附錄附錄

———AB(A、B);

修改了附錄中對能力等級的個(gè)級別的定義與現(xiàn)行標(biāo)準(zhǔn)等標(biāo)準(zhǔn)描述一致

———C5,GB/T30271;

修改了附錄中的系列過程域編號與過程域描述不匹配的錯(cuò)誤信息見

———D(D.6.1.1、D.7.7.3、

D.9.3.3、D.11.1.1、D.11.4、D.11.4.1、D.12.3.1);

增加了附錄中為便于標(biāo)準(zhǔn)模型與現(xiàn)行安全服務(wù)映射關(guān)系的附錄見附錄

———F(F);

增加了與的主要變化對比表見附錄

———GB/T20261—2006(G)。

本標(biāo)準(zhǔn)使用重新起草法修改采用信息技術(shù)安全技術(shù)系統(tǒng)安全工程能

ISO/IEC21827:2008《

力成熟度模型

》。

本標(biāo)準(zhǔn)與相比在結(jié)構(gòu)上有一定調(diào)整附錄中列出了本標(biāo)準(zhǔn)與

ISO/IEC21827:2008,AISO/IEC

的章條標(biāo)號對照一覽表

21827:2008。

本標(biāo)準(zhǔn)與相比存在技術(shù)性差異附錄中給出了相應(yīng)的技術(shù)差異及原因的

ISO/IEC21827:2008,B

一覽表

。

本標(biāo)準(zhǔn)做了下列編輯性修改

:

將標(biāo)準(zhǔn)名稱修改為信息安全技術(shù)系統(tǒng)安全工程能力成熟度模型

———《》。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位北京永信至誠科技股份有限公司中國信息安全測評中心中新網(wǎng)絡(luò)信息安全股

:、、

份有限公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司北京奇安信科技有限公

、、、

司北京江南天安科技有限公司公安部第三研究所國家信息中心北京郵電大學(xué)北京啟明星辰信息

、、、、、

安全技術(shù)有限公司

。

本標(biāo)準(zhǔn)主要起草人孫明亮朱勝濤王軍溫哲李斌位華王琰張曉菲蔡晶晶陳冠直王龑

:、、、、、、、、、、、

郭穎鄭新華楊建軍劉賢剛上官曉麗許玉娜任衛(wèi)紅袁靜高亞楠余慧英李小勇呂俐丹侯曉雄

、、、、、、、、、、、、、

米凱吳璇喬鵬劉蕾杰梁峰

、、、、。

本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/T20261—2006。

Ⅲ

GB/T20261—2020

引言

本標(biāo)準(zhǔn)依據(jù)國際標(biāo)準(zhǔn)最新版本結(jié)合國內(nèi)最優(yōu)實(shí)踐從系統(tǒng)安全工程的科

(ISO/IEC21827:2008),,

學(xué)性和可指導(dǎo)性出發(fā)進(jìn)行修訂對標(biāo)準(zhǔn)術(shù)語安全工程過程域及能力維進(jìn)行更新和優(yōu)化

,、。

01概要

.

在計(jì)算機(jī)程序開發(fā)中無論是操作系統(tǒng)軟件安全管理和執(zhí)行功能軟件應(yīng)用程序中間件

———、、、———

各種各樣的組織都在實(shí)踐安全工程因此產(chǎn)品開發(fā)者服務(wù)提供者系統(tǒng)集成者系統(tǒng)管理者甚至是

。,、、、,

安全專家都要求有合適的方法和實(shí)踐部分組織關(guān)注高層次問題例如涉及運(yùn)行使用或系統(tǒng)體系結(jié)

。(

構(gòu)另一部分組織則涉及低層次問題例如機(jī)構(gòu)選擇或者設(shè)計(jì)還有些組織兩者都涉及許多組織可

),(,),。

能專門研究某種特定類型的技術(shù)或者某個(gè)專業(yè)范疇例如航海

,(,)。

?1)是針對所有此類組織而設(shè)計(jì)的使用?并不意味著一個(gè)組織就比另一個(gè)

SSE-CMM。SSE-CMM

組織更關(guān)注安全也不意味著任何?使用方法是必需的組織的業(yè)務(wù)核心也不會因?yàn)槭褂?/p>

,SSE-CMM。

?而發(fā)生偏離

SSE-CMM。

根據(jù)組織的業(yè)務(wù)核心使用某些而不是全部已定義的安全工程實(shí)踐除此之外組織可能需要考

,()。,

慮模型范圍內(nèi)不同實(shí)踐之間的關(guān)系以確定它們的可用性下面的例子說明了各種不同的組織可以把

,。

?用于軟件系統(tǒng)設(shè)備開發(fā)和運(yùn)行

SSE-CMM、、。

本標(biāo)準(zhǔn)與過程評估系列標(biāo)準(zhǔn)系列特別是有關(guān)因?yàn)樗鼈兌忌?/p>

(ISO/IEC330XX),ISO/IEC33020,

及過程改進(jìn)和能力成熟度評估但是過程評估系列標(biāo)準(zhǔn)適用于所有過程而?則專注于安

。,,SSE-CMM

全性

。

安全服務(wù)提供者

1)

為了測量一個(gè)組織執(zhí)行風(fēng)險(xiǎn)評估的過程能力要使用幾組不同的實(shí)踐在系統(tǒng)開發(fā)或集成期間可

,。,

能需要評估該組織在確定和分析安全脆弱性以及評估運(yùn)行影響方面的能力在系統(tǒng)運(yùn)行期間下可能

。,

需要評估該組織在監(jiān)視系統(tǒng)安全態(tài)勢識別和分析安全脆弱性以及評估運(yùn)行影響方面的能力

、。

對策開發(fā)者

2)

在一個(gè)組專注對策開發(fā)的情況下可能要通過?的實(shí)踐組合來描述組織的過程能力特

,SSE-CMM

性該模型包含若干提出確定和分析安全脆弱性評估運(yùn)行影響以及向涉及的其他組例如軟件組提

。、()

供輸入和指南的實(shí)踐提供制定對策服務(wù)的組需要理解這些實(shí)踐之間的關(guān)系

。。

產(chǎn)品開發(fā)者

3)

?包含部分專門針對理解客戶安全需要的實(shí)踐要求與客戶反復(fù)商討以便確定這些需

SSE-CMM。,

要如果某個(gè)產(chǎn)品的開發(fā)不受特定客戶的約束該產(chǎn)品的客戶就是通用客戶在這種情況下如果要求

。,。,

考慮客戶可以把產(chǎn)品營銷組或其他組作為假想的客戶

,。

安全工程專業(yè)人員都理解產(chǎn)品背景和產(chǎn)品開發(fā)方法隨產(chǎn)品本身的變化而變化不過已經(jīng)知道有

,。,

一些與產(chǎn)品和項(xiàng)目背景有關(guān)的問題對產(chǎn)品的構(gòu)思生產(chǎn)交付和維護(hù)方法有影響下列問題對

、、。SSE-

?特別有意義

CMM:

客戶基本類型產(chǎn)品系統(tǒng)和服務(wù)

●(、);

?和均是美國卡內(nèi)基梅隆大學(xué)的服務(wù)商標(biāo)受相關(guān)法律和法規(guī)的

1)CMMCapabilityMaturityModel·(CMU),

保護(hù)

。

Ⅳ

GB/T20261—2020

保障要求高與低

●();

對開發(fā)和運(yùn)行組織的支持

●。

下面討論兩個(gè)不同客戶群之間的差異保證要求的不同程度以及?中每個(gè)差異的影響

,SSE-CMM。

這些是作為組織或行業(yè)部門如何確定在其環(huán)境中正確使用?的示例

SSE-CMM。

特定的行業(yè)部門

4)

各個(gè)行業(yè)反映了其特定的文化術(shù)語和交流風(fēng)格通過盡可能降低角色相關(guān)性和組織結(jié)構(gòu)關(guān)聯(lián)性

、。,

可預(yù)見?的概念可以容易地在所有行業(yè)部門中轉(zhuǎn)化成其自身的語言和文化

SSE-CMM。

02如何使用SSE-CMM?

.?

?和應(yīng)用該模型的方法例如評估方法的預(yù)期用途如下

SSE-CMM(:):

工具工程組織用于評價(jià)其安全工程實(shí)踐和定義改進(jìn)

●———;

方法安全工程評價(jià)組織例如認(rèn)證機(jī)構(gòu)和評價(jià)機(jī)構(gòu)用于確定組織能力作為系統(tǒng)或產(chǎn)品

●———()(

安全保障的收入信任度

);

標(biāo)準(zhǔn)機(jī)制客戶用于評價(jià)提供者的安全工程能力

●———。

評估范圍應(yīng)由評估機(jī)構(gòu)確定如果有必要應(yīng)與評估人員討論

,。

如果使用模型和評估方法的用戶透徹地理解模型的正確使用法及其內(nèi)在的限制條件則在應(yīng)用模

,

型進(jìn)行自我改進(jìn)和選擇供方的過程中可使用該評價(jià)技術(shù)

。

關(guān)于使用過程評估的其他信息可以在中找到

,ISO/IECTR33014:2013。

03使用SSE-CMM?的好處

.

安全的趨勢是從保護(hù)涉密的政府?dāng)?shù)據(jù)向包括金融交易合同協(xié)議個(gè)人信息以及互聯(lián)網(wǎng)在內(nèi)的更加

、、

廣泛的利害攸關(guān)領(lǐng)域轉(zhuǎn)移已經(jīng)出現(xiàn)相應(yīng)的維護(hù)和保護(hù)信息的產(chǎn)品系統(tǒng)和服務(wù)的衍生物這些安全

。、。

產(chǎn)品和系統(tǒng)一般以兩種方式之一進(jìn)入市場長期而昂貴的評價(jià)或者無需評價(jià)在前一種情況下可信的

:。,

產(chǎn)品往往要在確定它們的特性是必要的之后很長時(shí)間并且那些已部署的安全系統(tǒng)不再應(yīng)付當(dāng)前威脅

時(shí)才到達(dá)市場在后一種情況下獲取者和用戶一定要只依賴產(chǎn)品或者系統(tǒng)開發(fā)者或運(yùn)營商的安全聲

,。,

明而且以往的安全工程服務(wù)往往都帶著這種警告進(jìn)入市場

。,。

這種情況要求組織以更成熟的方式實(shí)施安全工程特別是在生產(chǎn)和準(zhǔn)備安全系統(tǒng)和可信產(chǎn)品時(shí)

。,

需要下列品質(zhì)

:

連續(xù)性在以前的工作中獲取的知識應(yīng)用于今后的工作中

●———;

可重復(fù)性確保項(xiàng)目可以成功重復(fù)的方法

●———;

有效性有助于開發(fā)者和評價(jià)者更有效工作的方法

●———;

保障指出安全要求的置信度

●———。

為了準(zhǔn)備這些要求需要某種機(jī)制用于指導(dǎo)組織去了解和改進(jìn)它們的安全工程實(shí)踐正在開發(fā)的

,。

?以改進(jìn)所要交付的安全系統(tǒng)可信產(chǎn)品和安全工程服務(wù)的質(zhì)量和可用性以及降低其成本

SSE-CMM,、

為目標(biāo)提高安全工程實(shí)踐水平以適應(yīng)這些需求特別是可預(yù)見到有下列好處

,,。:

對工程組織

1)

工程組織包括系統(tǒng)集成商應(yīng)用開發(fā)商商品廠商和服務(wù)提供商對于這些組織來說?

、、。,SSE-CMM

的好處包括

:

由于可重復(fù)可預(yù)計(jì)的過程和實(shí)踐使返工減少而帶來的節(jié)約

●、;

真實(shí)執(zhí)行能力特別是來源選擇方面的信譽(yù)

●,;

專注于度量到的組織能力成熟度和改進(jìn)

●()。

Ⅴ

GB/T20261—2020

對于獲取組織

2)

獲取者包括從外部內(nèi)部來源獲得的系統(tǒng)產(chǎn)品和服務(wù)的組織和最終用戶對于這些組織

/、。,SSE-

?的好處包括

CMM:

可重用的標(biāo)準(zhǔn)置標(biāo)語言和評價(jià)手段

●;

減少選擇不合格投標(biāo)者的風(fēng)險(xiǎn)性能費(fèi)用進(jìn)度

●(、、);

由于以業(yè)界標(biāo)準(zhǔn)為基礎(chǔ)統(tǒng)一評估引起的異議不多

●,;

產(chǎn)品或服務(wù)達(dá)到可預(yù)計(jì)可重復(fù)的信任程度

●、。

對于評價(jià)組織

3)

評價(jià)組織包括系統(tǒng)認(rèn)證機(jī)構(gòu)系統(tǒng)認(rèn)可機(jī)構(gòu)產(chǎn)品評價(jià)機(jī)構(gòu)和產(chǎn)品評估機(jī)構(gòu)對于這些組織

、、。,SSE-

?的好處包括

CMM:

過程評估結(jié)果可重用與系統(tǒng)或產(chǎn)品變更無關(guān)

●,;

安全工程以及與其他學(xué)科的集成可信

●;

用證據(jù)證明能力減少安全評價(jià)工作量

●,。

Ⅵ

GB/T20261—2020

信息安全技術(shù)系統(tǒng)安全工程

能力成熟度模型

1范圍

本標(biāo)準(zhǔn)給出了系統(tǒng)安全工程能力成熟度模型以下簡稱?是一個(gè)過程參考模型它關(guān)注

(SSE-CMM),

信息技術(shù)安全領(lǐng)域內(nèi)的某個(gè)系統(tǒng)或者若干相關(guān)系統(tǒng)實(shí)現(xiàn)安全的要求在領(lǐng)域內(nèi)

(ITS)。ITS,SSE-

?關(guān)注的是用來實(shí)現(xiàn)的過程尤其是這些過程的成熟度?的目的不是規(guī)定組織

CMMITS,。SSE-CMM

使用的具體過程更不會涉及具體的方法而是希望準(zhǔn)備使用?的組織利用其現(xiàn)有的過

,,SSE-CMM

程那些以其他任何信息技術(shù)安全指導(dǎo)文件為基礎(chǔ)的過程

———。

本標(biāo)準(zhǔn)界定了?是專門用于改進(jìn)和評估安全工程能力的模型不能獨(dú)立于其他工程學(xué)科

SSE-CMM