ICS 35.040 L 80 GB 中华人民共和国国家标准 GB/T 20261—2020 代替GB/T20261—2006 信息安全技术 系统安全工程 能力成熟度模型 Information security technologySystem security engineering- Capability maturity model (ISO/IEC 21827:2008,Information technology—Security techniques Systems security engineering-Capability maturity model,MOD) 2020-11-19 发布 2021-06-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 20261—2020 目 次 前言 引言 0.1 概要 0.2 如何使用SSE-CMM?？ 0.3 使用SSE-CMM的好处 范围 2 规范性引用文件 3 术语和定义 系统安全工程概述 4.1 安全工程的开发背景 4.2 安全工程的重要性 4.3 安全工程组织 4.4 安全工程生存周期 4.5 安全工程和其他学科 4.6 安全工程专业 5 模型体系结构 5.1 安全工程过程概述 5.2 SSE-CMM?体系结构描述 11 5.3 汇总表 19 6 安全基本实践： 19 6.1 安全基本实践概述 6.2 PA01 管理安全控制 20 6.3 PA02- 评估影响 23 6.4 PA03- 评估安全风险 26 6.5 PA04 评估威胁 30 6.6 PA05- 评估脆弱性 33 6.7 PA06- 建立保障论据 36 6.8 PA07 协调安全 6.9 PA08- 监视安全态势 41 6.10 PA09 提供安全输人 45 6.11 PA10 确定安全需要… 6.12 PA11 验证和确认安全 ·53 附录A（资料性附录） 本标准与ISO/IEC21827:2008相比的结构变化情况 56 附录B（资料性附录） 本标准与ISO/IEC21827:2008的技术性差异及其原因 59 附录C（规范性附录） 通用实践· 61 GB/T 20261—2020 C.1 总则· 61 C.2 能力等级1 基本执行 61 C.3 能力等级2 计划跟踪 62 C.4 能力等级3- 充分定义 67 C.5 能力等级4- 量化控制…· C.6 能力等级5- 持续改进 73 附录D（规范性附录） 项目与组织基本实践 76 D.1 综述·· 76 D.2 般安全注意事项 76 D.3 PA12- 确保质量 76 D.4 PA13 管理配置 81 D.5 PA14- 管理项目风险 D.6 PA15 监督和控制技术工作 88 D.7 PA16- 策划技术工作 90 D.8 PA17- 定义组织系统工程过程 96 D.9 PA18- 改进组织系统工程过程 99 D.10 PA19- 管理产品线演化 101 D.11 PA20- 管理系统工程支持环境 104 D.12 PA21 提供持续发展的技能和知识 107 D.13 PA22 与供方协调 112 附录E(资料性附录) 能力成熟度模型概念 116 E.1 概述 116 E.2 过程改进 116 E.3 预期结果 117 E.4 常见误解 E.5 关键概念 118 附录F（资料性附录） 信息安全服务与安全工程过程域对应表 122 附录G（资料性附录） GB/T20261—XXXX与GB/T20261—2006主要变化对比表.. 123 参考文献· 127 GB/T 20261—2020 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T20261一2006《信息技术系统安全工程能力成熟度模型》，与GB/T20261 2006相比，主要技术变化如下（主要变化对比表见附录G）： 理”; （见第3章，2006年版的第3章）； 删除了术语“惯例”（见2006年版的3.24)； 修改了部分章条标题，合并、调整和删除了部分内容关联和不适合作为国家标准的内容（见 4.1、4.2、4.3、4.4、4.5、4.6、5.1)； 9009 章)； 增加了第6章中BP.06.03定义安全测量，以及ISO/IEC21827：2008相对于ISO/IEC21827： 2002增加及修订的内容（见第6章）； 增加了附录A和附录B(见附录A、附录B)； 修改了附录C中对能力等级的5个级别的定义，与现行标准GB/T30271等标准描述一致； 修改了附录D中的系列过程域编号与过程域描述不匹配的错误信息（见D.6.1.1、D.7.7.3、 D.9.3.3、D.11.1.1、D.11.4、D.11.4.1、D.12.3.1); 增加了附录中为便于标准模型与现行安全服务映射关系的附录F（见附录F）； 增加了与GB/T20261一2006的主要变化对比表（见附录G)。 本标准使用重新起草法修改采用ISO/IEC21827：2008《信息技术安全技术系统安全工程能 力成熟度模型》。 本标准与ISO/IEC21827：2008相比在结构上有一定调整，附录A中列出了本标准与ISO/IEC 21827:2008的章条标号对照一览表。 本标准与ISO/IEC21827：2008相比存在技术性差异，附录B中给出了相应的技术差异及原因的 一览表。 本标准做了下列编辑性修改： 将标准名称修改为《信息安全技术系统安全工程能力成熟度模型》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：北京永信至诚科技股份有限公司、中国信息安全测评中心、中新网络信息安全股 份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信科技有限公 司、北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息 安全技术有限公司。 本标准主要起草人：孙明亮、朱胜涛、王军、温哲、李斌、位华、王琰、张晓菲、蔡晶晶、陈冠直、王翼、 郭颖、郑新华、杨建军、刘贤刚、上官晓丽、许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、 米凯、吴璇、乔鹏、刘蕾杰、梁峰。 本标准所代替标准的历次版本发布情况为： GB/T20261—2006。 II GB/T 20261—2020 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T20261一2006《信息技术系统安全工程能力成熟度模型》，与GB/T20261 2006相比，主要技术变化如下（主要变化对比表见附录G）： 理”; （见第3章，2006年版的第3章）； 删除了术语“惯例”（见2006年版的3.24)； 修改了部分章条标题，合并、调整和删除了部分内容关联和不适合作为国家标准的内容（见 4.1、4.2、4.3、4.4、4.5、4.6、5.1)； 9009 章)； 增加了第6章中BP.06.03定义安全测量，以及ISO/IEC21827：2008相对于ISO/IEC21827： 2002增加及修订的内容（见第6章）； 增加了附录A和附录B(见附录A、附录B)； 修改了附录C中对能力等级的5个级别的定义，与现行标准GB/T30271等标准描述一致； 修改了附录D中的系列过程域编号与过程域描述不匹配的错误信息（见D.6.1.1、D.7.7.3、 D.9.3.3、D.11.1.1、D.11.4、D.11.4.1、D.12.3.1); 增加了附录中为便于标准模型与现行安全服务映射关系的附录F（见附录F）； 增加了与GB/T20261一2006的主要变化对比表（见附录G)。 本标准使用重新起草法修改采用ISO/IEC21827：2008《信息技术安全技术系统安全工程能 力成熟度模型》。 本标准与ISO/IEC21827：2008相比在结构上有一定调整，附录A中列出了本标准与ISO/IEC 21827:2008的章条标号对照一览表。 本标准与ISO/IEC21827：2008相比存在技术性差异，附录B中给出了相应的技术差异及原因的 一览表。 本标准做了下列编辑性修改： 将标准名称修改为《信息安全技术系统安全工程能力成熟度模型》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本标准起草单位：北京永信至诚科技股份有限公司、中国信息安全测评中心、中新网络信息安全股 份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信科技有限公 司、北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息 安全技术有限公司。 本标准主要起草人：孙明亮、朱胜涛、王军、温哲、李斌、位华、王琰、张晓菲、蔡晶晶、陈冠直、王翼、 郭颖、郑新华、杨建军、刘贤刚、上官晓丽、许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、 米凯、吴璇、乔鹏、刘蕾杰、梁峰。 本标准所代替标准的历次版本发布情况为： GB/T20261—2006。 II GB/T 20261—2020 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准代替GB/T20261一2006《信息技术系统安全工程能力成熟度模型》，与GB/T20261 2006相比，主要技术变化如下（主要变化对比表见附录G）： 理”; （见第3章，2006年版的第3章）； 删除