2標(biāo)準(zhǔn)草案階段全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

1、國家標(biāo)準(zhǔn)草案稿資料國家標(biāo)準(zhǔn)信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型（修訂）編制說明一、 工作簡況1.1 任務(wù)來源2018年9月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）下達(dá)了制定信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型國家標(biāo)準(zhǔn)的專項項目任務(wù)書。項目的承擔(dān)單位是北京永信至誠科技股份有限公司。2018年9月，北京永信至誠科技股份有限公司啟動了該項目，開始修訂信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型標(biāo)準(zhǔn)文檔。1.2主要起草單位和工作組成員本標(biāo)準(zhǔn)主要由北京永信至誠科技股份有限公司起草，參加單位有：中國信息安全測評中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、公安部第三研究所、國家信息中心、北京江南天安科技有限公

2、司、阿里巴巴（北京）軟件服務(wù)有限公司。本標(biāo)準(zhǔn)主要起草人：孫明亮、李斌、位華、王琰、蔡晶晶、余慧英、李煒、楊建軍、上官曉麗、任衛(wèi)紅、陳永剛、陳冠直等。 1.3主要工作過程1.3.1項目啟動國家標(biāo)準(zhǔn)GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程能力成熟度模型已經(jīng)運(yùn)行多年，該標(biāo)準(zhǔn)為修訂采用國際標(biāo)準(zhǔn)ISO/IEC 21827:2002，隨著國內(nèi)信息安全形勢的發(fā)展，已經(jīng)不完全適用于國內(nèi)信息安全行業(yè)，與國內(nèi)信息安全服務(wù)存在諸多不適應(yīng)之處。為了推動信息技術(shù) 系統(tǒng)安全工程能力成熟度模型標(biāo)準(zhǔn)化工作的進(jìn)展，北京永信至誠科技股份有限公司、中國信息安全測評中心等項目組內(nèi)部開始進(jìn)行有關(guān)系統(tǒng)安全工程標(biāo)準(zhǔn)和方法的研究工

3、作。本次修訂工作主要是修改采用ISO/IEC 21827:2008 信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model）（SSE-CMM®），結(jié)合國內(nèi)最優(yōu)安全實(shí)踐修訂國家標(biāo)準(zhǔn)GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程能力成熟度模型。本次在修訂過程中，對于ISO/IEC 21827:2008引用的國際標(biāo)準(zhǔn)中已經(jīng)撤銷、以及舊版本的進(jìn)行更新，以及對于GB/T20261-2006中已

4、經(jīng)撤銷、以及舊版本的進(jìn)行更新，對相關(guān)術(shù)語、內(nèi)容與最新國際、國家標(biāo)準(zhǔn)進(jìn)行核實(shí)、更新。2018年9月，經(jīng)全國信息安全標(biāo)準(zhǔn)化委員會專家評審?fù)ㄟ^，信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型標(biāo)準(zhǔn)編制項目正式立項。標(biāo)準(zhǔn)編制任務(wù)下達(dá)后，由本項目負(fù)責(zé)人組織相關(guān)技術(shù)人員立即成立了標(biāo)準(zhǔn)編制小組，正式啟動信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型編制工作。1.3.2標(biāo)準(zhǔn)草案階段2018年9月形成信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型第一稿。2018年10月15日參加全國信息安全標(biāo)準(zhǔn)化委員會專家評審，與會專家對本標(biāo)準(zhǔn)給予了修改意見。序號意見內(nèi)容提出單位處理意見備注1.草案中部分注解不符合國內(nèi)習(xí)慣，建議修改或刪除；部分圖例中英

5、文建議改成中文、重畫；修訂的內(nèi)容與原標(biāo)準(zhǔn)之間的說明，比較在編制說明進(jìn)行論述。中國信息測評中心采納對圖例完全變成中文，對標(biāo)準(zhǔn)的修訂內(nèi)容進(jìn)行了細(xì)化，編制說明中內(nèi)容進(jìn)行更新2.編制說明補(bǔ)充與國際標(biāo)準(zhǔn)的關(guān)系，標(biāo)準(zhǔn)新舊版本的差異；標(biāo)準(zhǔn)文本要認(rèn)真校對、統(tǒng)一術(shù)語；建議刪去5.4條中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納補(bǔ)充與國際標(biāo)準(zhǔn)的關(guān)系，對術(shù)語進(jìn)行更新、校對，刪除了5.4章節(jié)3.文本的引用標(biāo)準(zhǔn)不夠統(tǒng)一予以補(bǔ)充；此標(biāo)準(zhǔn)文本與21827、15288標(biāo)準(zhǔn)的關(guān)系沒講清楚；修改的內(nèi)容應(yīng)突出出來；總體文本修訂與原標(biāo)準(zhǔn)結(jié)論緊密。原解放軍信息安全測評認(rèn)證中心采納對文本引用的標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一，對標(biāo)準(zhǔn)中涉及到的ISO/IEC 21827：

6、2008、15288等標(biāo)準(zhǔn)的關(guān)系進(jìn)行了細(xì)致闡述。4.編制說明第一、二章敘述從修訂角度而非編制角度；詳述修改的內(nèi)容和理由原解放軍信息安全測評認(rèn)證中心采納對編制說明內(nèi)容進(jìn)行調(diào)整，從修訂角度的主要內(nèi)容進(jìn)行闡述；對修訂的內(nèi)容進(jìn)行詳述5.修改采用在正文的前言和編制說明中明細(xì)；文中翻譯不統(tǒng)一阿里云計算有限公司采納對文本的正文前言和編制說明進(jìn)行細(xì)化，對文中翻譯進(jìn)行統(tǒng)一。6.在前言中應(yīng)標(biāo)明國際標(biāo)準(zhǔn)修改采用和對國家標(biāo)準(zhǔn)的修改；編制說明中說明修改和修改的內(nèi)容與理由；對原國際標(biāo)準(zhǔn)過往的背景描述、過程敘述等對應(yīng)裁剪或精煉概述；圖示應(yīng)漢化。國家信息技術(shù)安全研究中心采納突出了本次是修訂國家標(biāo)準(zhǔn)，修改采用國際標(biāo)準(zhǔn)，編制說明

7、中增加了修訂標(biāo)準(zhǔn)的理由，對原標(biāo)準(zhǔn)背景進(jìn)行描述，對文本中的內(nèi)容進(jìn)行了精簡，圖片進(jìn)行了漢化。7.明確標(biāo)準(zhǔn)是修訂標(biāo)準(zhǔn)，按照修訂標(biāo)準(zhǔn)格式進(jìn)行修改；文字需要進(jìn)一步細(xì)化嚴(yán)謹(jǐn)；翻譯痕跡嚴(yán)重需要本地化；術(shù)語全文要一致統(tǒng)一。中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納明確了本次標(biāo)準(zhǔn)是修訂標(biāo)準(zhǔn)，對文本正文進(jìn)行細(xì)化，對術(shù)語進(jìn)行了統(tǒng)一。2018年10月18日標(biāo)準(zhǔn)修訂組召開內(nèi)部會議，針對2018年10月15日專家組意見對標(biāo)準(zhǔn)進(jìn)行修訂。2018年10月23日參加全國信息安全標(biāo)準(zhǔn)化委員會2018年度第二次會議周，會議上向WG5組做工作匯報，形成本標(biāo)準(zhǔn)推進(jìn)到征求意見稿階段的結(jié)論。序號意見內(nèi)容提出單位處理意見備注8.建議繼續(xù)完善標(biāo)準(zhǔn)文本，目前

8、標(biāo)準(zhǔn)文本過于累贅。國家電網(wǎng)公司信息安全實(shí)驗(yàn)室（中國電力科學(xué)研究院）采納對標(biāo)準(zhǔn)文本進(jìn)行了精簡9.圖例描述的不是很清楚，例如圖2風(fēng)險，不能完全表達(dá)意思；6.2.2中翻譯過來的描述需要注意，中文11個部分已經(jīng)不是按字母順序排序了西門子（中國）有限公司采納對圖例的描述進(jìn)行了細(xì)化，對11PA過程域重新調(diào)整為按字母順序進(jìn)行排序10.本標(biāo)準(zhǔn)修改采用ISO/IEC 21827:2008, 建議在前言部分明確說明修改的內(nèi)容。微軟（中國）有限公司采納對修改采用ISO/IEC 21827:2008的內(nèi)容進(jìn)行了細(xì)化11.能力成熟度模型的分類描述不清楚，標(biāo)準(zhǔn)成文不像是一個標(biāo)準(zhǔn)的格式中國工程物理研究院電子工程研究所部分采

9、納對標(biāo)準(zhǔn)文本進(jìn)行了精簡12.內(nèi)容還不夠成熟，建議繼續(xù)完善工業(yè)和信息化部電信研究院采納進(jìn)一步細(xì)化了文本13.建議適當(dāng)精簡文稿的篇幅長度甲骨文軟件研究開發(fā)中心（北京）有限公司采納進(jìn)一步精簡文本14.標(biāo)準(zhǔn)內(nèi)容有待提煉并且需要描述清晰浪潮電子信息產(chǎn)業(yè)股份有限公司采納進(jìn)一步精簡文本2018年11月6日標(biāo)準(zhǔn)修訂組召開內(nèi)部工作組會議，針對全國信息安全標(biāo)準(zhǔn)化委員會2018年度青島會議周WG5組專家提出的修改意見進(jìn)行討論。2018年11月12日標(biāo)準(zhǔn)修訂組召開內(nèi)部會議，對標(biāo)準(zhǔn)文本進(jìn)行征求意見稿階段前的進(jìn)一步討論。2018年10月21日參加全國信息安全標(biāo)準(zhǔn)化委員會專家評審，與會專家對本標(biāo)準(zhǔn)給予了修改意見，建議推薦形

10、成征求意見稿。序號意見內(nèi)容提出單位處理意見備注15.編制說明需要增加背景介紹及修改主要部分，工作過程中每次會議收集主要意見如何處理情況；意見匯總表采納補(bǔ)充修改情況；標(biāo)準(zhǔn)文本譯文不夠準(zhǔn)確建議推敲后完善；標(biāo)準(zhǔn)名稱中信息技術(shù)建議改成信息安全技術(shù)，建議編制組與秘書處溝通一下情況，可先改名稱。公安部三所部分采納在編制說明中增加了每次會議意見及處置情況，對標(biāo)準(zhǔn)文本進(jìn)行了進(jìn)一步完善，對于將標(biāo)準(zhǔn)名稱“信息技術(shù)”改為“信息安全技術(shù)”在2018年10月15日的信安標(biāo)委的會議上已經(jīng)進(jìn)行了討論，會議專家對于名稱的更改已經(jīng)進(jìn)行否定16.規(guī)范性引用文件進(jìn)行梳理建議修改參考；中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心采納已經(jīng)對規(guī)范性文

11、件進(jìn)行了梳理17.確定系統(tǒng)安全來龍去脈、捕獲系統(tǒng)運(yùn)行的安全視圖建議類似翻譯內(nèi)容修改為常用可理解的簡化內(nèi)容中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心采納對文本內(nèi)容進(jìn)行了細(xì)化、精簡，18.標(biāo)準(zhǔn)中翻譯內(nèi)容建議符合國內(nèi)習(xí)慣、本土化；注釋可以使用中文習(xí)慣。中國信息測評中心采納對文本內(nèi)容進(jìn)行細(xì)化、本地化、精簡19.規(guī)范性引用標(biāo)準(zhǔn)文件建議全文搜索，沒有使用到文件建議列為參考文件中國電子技術(shù)標(biāo)準(zhǔn)化研究院采納20.識別系統(tǒng)的目的，以便確定龍去脈。缺字情況屬于格式問題；漏掉一條青島會議意見建議補(bǔ)充；標(biāo)準(zhǔn)文本過于累贅像是講故事，7.2.5.3注釋還有例子不像標(biāo)準(zhǔn)文本內(nèi)容。中國電力科學(xué)院采納對標(biāo)準(zhǔn)文本進(jìn)行細(xì)化、精簡，青島會議漏掉

12、意見進(jìn)行補(bǔ)充處置21.標(biāo)準(zhǔn)文中翻譯不要直譯，專有名詞建議反復(fù)推敲形成術(shù)語；意見匯總表每條意見進(jìn)行說明不要合并。阿里云技術(shù)有限公司對文本內(nèi)容進(jìn)行精簡、提煉二、 標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題本標(biāo)準(zhǔn)編制原則有4個，參考多個國內(nèi)、外的標(biāo)準(zhǔn)方法論結(jié)合中國系統(tǒng)安全工程的實(shí)際情況為標(biāo)準(zhǔn)編寫提供了大量的依據(jù)，本標(biāo)準(zhǔn)編寫的目的主要是為規(guī)范我國信息安全服務(wù)行業(yè)的服務(wù)行為，為系統(tǒng)安全工程能力的評判提供一個科學(xué)的理論方法。1、標(biāo)準(zhǔn)編制原則如下：a) 規(guī)范性：嚴(yán)格按照國家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到編制的標(biāo)準(zhǔn)思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整； b) 可操作性和實(shí)用性：利用多年的實(shí)踐

13、經(jīng)驗(yàn)，結(jié)合行業(yè)現(xiàn)狀進(jìn)行標(biāo)準(zhǔn)的編制，力求標(biāo)準(zhǔn)在具體執(zhí)行中操作性和實(shí)用性強(qiáng)； c）協(xié)調(diào)一致性：廣泛征求業(yè)界專家的意見，同時充分考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，力求達(dá)到編制標(biāo)準(zhǔn)的不同使用方的協(xié)調(diào)一致和標(biāo)準(zhǔn)之間的協(xié)調(diào)統(tǒng)一； d) 科學(xué)性與先進(jìn)性：借助于國際上在信息安全保障和能力成熟度等方面的科學(xué)方法及思路，進(jìn)行標(biāo)準(zhǔn)文本的設(shè)計和編寫。2、標(biāo)準(zhǔn)主要內(nèi)容的理論依據(jù)及解決的問題如下：a）對原標(biāo)準(zhǔn)GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型中第六章安全工程三個領(lǐng)域的內(nèi)涵及三者之間的內(nèi)涵關(guān)系進(jìn)行細(xì)化，對安全工程能力成熟模型中域維、能力維以及資源配置的關(guān)系進(jìn)行梳理；b）對第七章中11個過程域注釋進(jìn)行重

14、新解讀，對其中過于抽象信息進(jìn)行去除，結(jié)合國內(nèi)外的最優(yōu)實(shí)踐進(jìn)行對應(yīng)，對每個過程域中的基本實(shí)踐在過程域中發(fā)揮的作用與國內(nèi)實(shí)踐信息進(jìn)行匹配，以及對11個過程域之間的內(nèi)在關(guān)系進(jìn)行細(xì)致闡述；c）對附錄A中能力等級的公共特征與國際最新標(biāo)準(zhǔn)進(jìn)行匹配，對公共特征的通用慣例行進(jìn)重新梳理；d）對附錄B中的基本慣例內(nèi)容進(jìn)行重新梳理，對不符合國內(nèi)外最新研究成果、國內(nèi)系統(tǒng)安全工程服務(wù)實(shí)際情況不符內(nèi)容進(jìn)行修訂；e）對安全工程能力成熟度模型的評價對象進(jìn)行再細(xì)化，由老版標(biāo)準(zhǔn)的針對整個安全工程全生命周期評價方法，增加針對我國現(xiàn)有安全服務(wù)的實(shí)際情況的評價方法，增加對單個過程域、多個過程域組合的服務(wù)形式的評價方法等。三、主要試驗(yàn)或

15、驗(yàn)證情況分析無。四、知識產(chǎn)權(quán)情況說明無。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果信息安全測評中心依據(jù)中央編辦賦予的業(yè)務(wù)職能，自2002年起開展信息安全服務(wù)資質(zhì)業(yè)務(wù)。從2007年開始運(yùn)作信息安全系統(tǒng)安全工程資質(zhì)業(yè)務(wù)，至今已經(jīng)基本覆蓋了我國從事系統(tǒng)安全工程的組織，利用本標(biāo)準(zhǔn)闡述的能力成熟度模型客觀的評價了組織在信息安全服務(wù)領(lǐng)域各類型服務(wù)的能力，獲得系統(tǒng)安全工程企業(yè)的普遍認(rèn)同，為國家各行業(yè)對系統(tǒng)安全工程的采購提供了有力依據(jù)，為系統(tǒng)安全工程的提供方提供科學(xué)的評價自身能力水平的方法，對于規(guī)范系統(tǒng)安全工程行業(yè)起到了強(qiáng)有力的指導(dǎo)作用，避免了采購不科學(xué)信息安全服務(wù)所造成的不可估量的經(jīng)濟(jì)損失、政治影響。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況采用的國際標(biāo)準(zhǔn)主要為：ISO/IEC 21827:2008信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model®）（SSE-CMM®），主要參考SSE-CMM中能力成熟度的思路，結(jié)合我國系統(tǒng)安全工程的實(shí)際情況進(jìn)行構(gòu)造系統(tǒng)安全工程能力成熟度模型。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)