《信息技術(shù) 安全技術(shù) 系統(tǒng)安全工程 能力成熟度模型-編制說明》

國家標(biāo)準(zhǔn)草案稿資料

一、工作簡況

1.1任務(wù)來源

2018年9月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）下達(dá)了制定《信

息技術(shù)系統(tǒng)安全工程能力成熟度模型》國家標(biāo)準(zhǔn)的專項項目任務(wù)書。項目的承

擔(dān)單位是北京永信至誠科技股份有限公司。2018年9月，北京永信至誠科技股份

有限公司啟動了該項目，開始修訂《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》

標(biāo)準(zhǔn)文檔。

1.2主要起草單位和工作組成員

本標(biāo)準(zhǔn)主要由北京永信至誠科技股份有限公司起草，參加單位有：中國信息

安全測評中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部第三研究所、國家信息中心、

北京江南天安科技有限公司、阿里巴巴（北京）軟件服務(wù)有限公司。

本標(biāo)準(zhǔn)主要起草人：孫明亮、李斌、位華、王琰、蔡晶晶、余慧英、李煒、

楊建軍、上官曉麗、任衛(wèi)紅、陳永剛、陳冠直等。

1.3主要工作過程

1.3.1項目啟動

國家標(biāo)準(zhǔn)GB/T20261-2006《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》已經(jīng)

運(yùn)行多年，該標(biāo)準(zhǔn)為修訂采用國際標(biāo)準(zhǔn)ISO/IEC21827:2002，隨著國內(nèi)信息安全

形勢的發(fā)展，已經(jīng)不完全適用于國內(nèi)信息安全行業(yè)，與國內(nèi)信息安全服務(wù)存在諸

多不適應(yīng)之處。為了推動《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》標(biāo)準(zhǔn)化工

作的進(jìn)展，北京永信至誠科技股份有限公司、中國信息安全測評中心等項目組內(nèi)

部開始進(jìn)行有關(guān)系統(tǒng)安全工程標(biāo)準(zhǔn)和方法的研究工作。本次修訂工作主要是修改

采用ISO/IEC21827:2008《信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模

型?》（Informationtechnology—Securitytechniques—SystemsSecurity

Engineering-CapabilityMaturityModel）（SSE-CMM?），結(jié)合國內(nèi)最優(yōu)安

全實(shí)踐修訂國家標(biāo)準(zhǔn)GB/T20261-2006《信息技術(shù)系統(tǒng)安全工程能力成熟度模

型》。本次在修訂過程中，對于ISO/IEC21827:2008引用的國際標(biāo)準(zhǔn)中已經(jīng)撤銷、

以及舊版本的進(jìn)行更新，以及對于GB/T20261-2006中已經(jīng)撤銷、以及舊版本的進(jìn)

行更新，對相關(guān)術(shù)語、內(nèi)容與最新國際、國家標(biāo)準(zhǔn)進(jìn)行核實(shí)、更新。

國家標(biāo)準(zhǔn)草案稿資料

2018年9月，經(jīng)全國信息安全標(biāo)準(zhǔn)化委員會專家評審?fù)ㄟ^，《信息技術(shù)系統(tǒng)

安全工程能力成熟度模型》標(biāo)準(zhǔn)編制項目正式立項。標(biāo)準(zhǔn)編制任務(wù)下達(dá)后，由

本項目負(fù)責(zé)人組織相關(guān)技術(shù)人員立即成立了標(biāo)準(zhǔn)編制小組，正式啟動《信息技術(shù)

系統(tǒng)安全工程能力成熟度模型》編制工作。

1.3.2標(biāo)準(zhǔn)草案階段

2018年9月形成《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》第一稿。

2018年10月15日參加全國信息安全標(biāo)準(zhǔn)化委員會專家評審，與會專家對本標(biāo)

準(zhǔn)給予了修改意見。

序處理

意見內(nèi)容提出單位備注

號意見

對圖例完全變成中文，對標(biāo)準(zhǔn)的修

1.草案中部分注解不符合國內(nèi)習(xí)慣，建議

修改或刪除；部分圖例中英文建議改成中國信息訂內(nèi)容進(jìn)行了細(xì)化，編制說明中內(nèi)

采納容進(jìn)行更新

中文、重畫；修訂的內(nèi)容與原標(biāo)準(zhǔn)之間測評中心

的說明，比較在編制說明進(jìn)行論述。

編制說明補(bǔ)充與國際標(biāo)準(zhǔn)的關(guān)系，標(biāo)準(zhǔn)中國電子補(bǔ)充與國際標(biāo)準(zhǔn)的關(guān)系，對術(shù)語進(jìn)

2.

新舊版本的差異；標(biāo)準(zhǔn)文本要認(rèn)真校技術(shù)標(biāo)準(zhǔn)采納行更新、校對，刪除了5.4章節(jié)

對、統(tǒng)一術(shù)語；建議刪去5.4條化研究院

文本的引用標(biāo)準(zhǔn)不夠統(tǒng)一予以補(bǔ)充；此原解放軍對文本引用的標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一，對

3.

標(biāo)準(zhǔn)文本與21827、15288標(biāo)準(zhǔn)的關(guān)信息安全標(biāo)準(zhǔn)中涉及到的ISO/IEC21827：

采納

系沒講清楚；修改的內(nèi)容應(yīng)突出出來；測評認(rèn)證2008、15288等標(biāo)準(zhǔn)的關(guān)系進(jìn)行了

總體文本修訂與原標(biāo)準(zhǔn)結(jié)論緊密。中心細(xì)致闡述。

原解放軍對編制說明內(nèi)容進(jìn)行調(diào)整，從修訂

4.

編制說明第一、二章敘述從修訂角度而信息安全角度的主要內(nèi)容進(jìn)行闡述；對修訂

采納

非編制角度；詳述修改的內(nèi)容和理由測評認(rèn)證的內(nèi)容進(jìn)行詳述

中心

阿里云計對文本的正文前言和編制說明進(jìn)行

5.修改采用在正文的前言和編制說明中

算有限公采納細(xì)化，對文中翻譯進(jìn)行統(tǒng)一。

明細(xì)；文中翻譯不統(tǒng)一

司

在前言中應(yīng)標(biāo)明國際標(biāo)準(zhǔn)修改采用和突出了本次是修訂國家標(biāo)準(zhǔn)，修改

6.

對國家標(biāo)準(zhǔn)的修改；編制說明中說明修國家信息采用國際標(biāo)準(zhǔn)，編制說明中增加了

改和修改的內(nèi)容與理由；對原國際標(biāo)準(zhǔn)技術(shù)安全采納修訂標(biāo)準(zhǔn)的理由，對原標(biāo)準(zhǔn)背景進(jìn)

行描述，對文本中的內(nèi)容進(jìn)行了精

過往的背景描述、過程敘述等對應(yīng)裁剪研究中心

簡，圖片進(jìn)行了漢化。

或精煉概述；圖示應(yīng)漢化。

明確標(biāo)準(zhǔn)是修訂標(biāo)準(zhǔn)，按照修訂標(biāo)準(zhǔn)格明確了本次標(biāo)準(zhǔn)是修訂標(biāo)準(zhǔn)，對文

7.中國電子

式進(jìn)行修改；文字需要進(jìn)一步細(xì)化嚴(yán)本正文進(jìn)行細(xì)化，對術(shù)語進(jìn)行了統(tǒng)

技術(shù)標(biāo)準(zhǔn)采納

謹(jǐn)；翻譯痕跡嚴(yán)重需要本地化；術(shù)語全一。

化研究院

文要一致統(tǒng)一。

2018年10月18日標(biāo)準(zhǔn)修訂組召開內(nèi)部會議，針對2018年10月15日專家組意見

對標(biāo)準(zhǔn)進(jìn)行修訂。

國家標(biāo)準(zhǔn)草案稿資料

2018年10月23日參加全國信息安全標(biāo)準(zhǔn)化委員會2018年度第二次會議周，會

議上向WG5組做工作匯報，形成本標(biāo)準(zhǔn)推進(jìn)到征求意見稿階段的結(jié)論。

序處理

意見內(nèi)容提出單位備注

號意見

國家電網(wǎng)公司信對標(biāo)準(zhǔn)文本進(jìn)行了精簡

8.

建議繼續(xù)完善標(biāo)準(zhǔn)文本，目前標(biāo)準(zhǔn)文本過息安全實(shí)驗室（中

采納

于累贅。國電力科學(xué)研究

院）

圖例描述的不是很清楚，例如圖2風(fēng)險，對圖例的描述進(jìn)行了細(xì)

9.

不能完全表達(dá)意思；6.2.2中翻譯過來的西門子（中國）有化，對11PA過程域重新

采納

描述需要注意，中文11個部分已經(jīng)不是按限公司調(diào)整為按字母順序進(jìn)行

排序

字母順序排序了

對修改采用

10.本標(biāo)準(zhǔn)修改采用ISO/IEC21827:2008,微軟（中國）有限ISO/IEC

采納21827:2008的內(nèi)容進(jìn)行

建議在前言部分明確說明修改的內(nèi)容。公司

了細(xì)化

中國工程物理研對標(biāo)準(zhǔn)文本進(jìn)行了精簡

11.能力成熟度模型的分類描述不清楚，標(biāo)準(zhǔn)部分

究院電子工程研

成文不像是一個標(biāo)準(zhǔn)的格式采納

究所

工業(yè)和信息化部進(jìn)一步細(xì)化了文本

12.內(nèi)容還不夠成熟，建議繼續(xù)完善采納

電信研究院

甲骨文軟件研究進(jìn)一步精簡文本

13.

建議適當(dāng)精簡文稿的篇幅長度開發(fā)中心（北京）采納

有限公司

浪潮電子信息產(chǎn)進(jìn)一步精簡文本

14.標(biāo)準(zhǔn)內(nèi)容有待提煉并且需要描述清晰采納

業(yè)股份有限公司

2018年11月6日標(biāo)準(zhǔn)修訂組召開內(nèi)部工作組會議，針對全國信息安全標(biāo)準(zhǔn)化

委員會2018年度青島會議周WG5組專家提出的修改意見進(jìn)行討論。

2018年11月12日標(biāo)準(zhǔn)修訂組召開內(nèi)部會議，對標(biāo)準(zhǔn)文本進(jìn)行征求意見稿階段

前的進(jìn)一步討論。

2018年10月21日參加全國信息安全標(biāo)準(zhǔn)化委員會專家評審，與會專家對本標(biāo)

準(zhǔn)給予了修改意見，建議推薦形成征求意見稿。

序處理

意見內(nèi)容提出單位備注

號意見

編制說明需要增加背景介紹及修改主要公安部三所部分采在編制說明中增加了每次

15.

部分，工作過程中每次會議收集主要意見納會議意見及處置情況，對標(biāo)

如何處理情況；意見匯總表采納補(bǔ)充修改準(zhǔn)文本進(jìn)行了進(jìn)一步完善，

情況；標(biāo)準(zhǔn)文本譯文不夠準(zhǔn)確建議推敲后對于將標(biāo)準(zhǔn)名稱“信息技

完善；標(biāo)準(zhǔn)名稱中信息技術(shù)建議改成信息術(shù)”改為“信息安全技術(shù)”

安全技術(shù)，建議編制組與秘書處溝通一下在2018年10月15日的信

情況，可先改名稱。安標(biāo)委的會議上已經(jīng)進(jìn)行

國家標(biāo)準(zhǔn)草案稿資料

了討論，會議專家對于名稱

的更改已經(jīng)進(jìn)行否定

規(guī)范性引用文件進(jìn)行梳理建議修改參考；中國網(wǎng)絡(luò)安采納已經(jīng)對規(guī)范性文件進(jìn)行了

16.

全審查技術(shù)梳理

與認(rèn)證中心

確定系統(tǒng)安全來龍去脈、捕獲系統(tǒng)運(yùn)行的中國網(wǎng)絡(luò)安采納對文本內(nèi)容進(jìn)行了細(xì)化、精

17.

安全視圖建議類似翻譯內(nèi)容修改為常用全審查技術(shù)簡，

可理解的簡化內(nèi)容與認(rèn)證中心

標(biāo)準(zhǔn)中翻譯內(nèi)容建議符合國內(nèi)習(xí)慣、本土中國信息測采納對文本內(nèi)容進(jìn)行細(xì)化、本地

18.

化；注釋可以使用中文習(xí)慣。評中心化、精簡

規(guī)范性引用標(biāo)準(zhǔn)文件建議全文搜索，沒有中國電子技采納

19.

使用到文件建議列為參考文件術(shù)標(biāo)準(zhǔn)化研

究院

識別系統(tǒng)的目的，以便確定龍去脈。缺字中國電力科采納對標(biāo)準(zhǔn)文本進(jìn)行細(xì)化、精

20.

情況屬于格式問題；漏掉一條青島會議意學(xué)院簡，青島會議漏掉意見進(jìn)行

見建議補(bǔ)充；標(biāo)準(zhǔn)文本過于累贅像是講故補(bǔ)充處置

事，7.2.5.3注釋還有例子不像標(biāo)準(zhǔn)文本內(nèi)

容。

標(biāo)準(zhǔn)文中翻譯不要直譯，專有名詞建議反阿里云技術(shù)對文本內(nèi)容進(jìn)行精簡、提煉

21.

復(fù)推敲形成術(shù)語；意見匯總表每條意見進(jìn)有限公司

行說明不要合并。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

本標(biāo)準(zhǔn)編制原則有4個，參考多個國內(nèi)、外的標(biāo)準(zhǔn)方法論結(jié)合中國系統(tǒng)安全

工程的實(shí)際情況為標(biāo)準(zhǔn)編寫提供了大量的依據(jù)，本標(biāo)準(zhǔn)編寫的目的主要是為規(guī)范

我國信息安全服務(wù)行業(yè)的服務(wù)行為，為系統(tǒng)安全工程能力的評判提供一個科學(xué)的

理論方法。

1、標(biāo)準(zhǔn)編制原則如下：

a)規(guī)范性：嚴(yán)格按照國家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到編

制的標(biāo)準(zhǔn)思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整；

b)可操作性和實(shí)用性：利用多年的實(shí)踐經(jīng)驗，結(jié)合行業(yè)現(xiàn)狀進(jìn)行標(biāo)準(zhǔn)的

編制，力求標(biāo)準(zhǔn)在具體執(zhí)行中操作性和實(shí)用性強(qiáng)；

c）協(xié)調(diào)一致性：廣泛征求業(yè)界專家的意見，同時充分考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)

關(guān)系，力求達(dá)到編制標(biāo)準(zhǔn)的不同使用方的協(xié)調(diào)一致和標(biāo)準(zhǔn)之間的協(xié)調(diào)統(tǒng)一；

d)科學(xué)性與先進(jìn)性：借助于國際上在信息安全保障和能力成熟度等方面

的科學(xué)方法及思路，進(jìn)行標(biāo)準(zhǔn)文本的設(shè)計和編寫。

2、標(biāo)準(zhǔn)主要內(nèi)容的理論依據(jù)及解決的問題如下：

國家標(biāo)準(zhǔn)草案稿資料

a）對原標(biāo)準(zhǔn)GB/T20261-2006《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》

中第六章安全工程三個領(lǐng)域的內(nèi)涵及三者之間的內(nèi)涵關(guān)系進(jìn)行細(xì)化，對安全工程

能力成熟模型中域維、能力維以及資源配置的關(guān)系進(jìn)行梳理；

b）對第七章中11個過程域注釋進(jìn)行重新解讀，對其中過于抽象信息進(jìn)行去

除，結(jié)合國內(nèi)外的最優(yōu)實(shí)踐進(jìn)行對應(yīng)，對每個過程域中的基本實(shí)踐在過程域中發(fā)

揮的作用與國內(nèi)實(shí)踐信息進(jìn)行匹配，以及對11個過程域之間的內(nèi)在關(guān)系進(jìn)行細(xì)致

闡述；

c）對附錄A中能力等級的公共特征與國際最新標(biāo)準(zhǔn)進(jìn)行匹配，對公共特征的

通用慣例行進(jìn)重新梳理；

d）對附錄B中的基本慣例內(nèi)容進(jìn)行重新梳理，對不符合國內(nèi)外最新研究成果、

國內(nèi)系統(tǒng)安全工程服務(wù)實(shí)際情況不符內(nèi)容進(jìn)行修訂；

e）對安全工程能力成熟度模型的評價對象進(jìn)行再細(xì)化，由老版標(biāo)準(zhǔn)的針對

整個安全工程全生命周期評價方法，增加針對我國現(xiàn)有安全服務(wù)的實(shí)際情況的評

價方法，增加對單個過程域、多個過程域組合的服務(wù)形式的評價方法等。

三、主要試驗[或驗證]情況分析

無。

四、知識產(chǎn)權(quán)情況說明

無。

五、產(chǎn)業(yè)化