標準解讀
《GB/T 20261-2020 信息安全技術 系統(tǒng)安全工程 能力成熟度模型》與前一版《GB/T 20261-2006 信息技術 系統(tǒng)安全工程 能力成熟度模型》相比,主要在以下幾個方面進行了更新和調(diào)整:
-
標準名稱調(diào)整:新標準將“信息技術”更改為“信息安全技術”,更加突出了信息安全的專項領域,反映了對系統(tǒng)安全工程中信息安全重視程度的提升。
-
標準內(nèi)容更新:依據(jù)國際上系統(tǒng)安全工程領域的最新研究成果和發(fā)展趨勢,新版標準對原有模型的各個過程域(Process Areas, PA)進行了修訂和完善,可能包括增加新的過程域或優(yōu)化現(xiàn)有過程域的描述和要求,以更好地指導組織提升其系統(tǒng)安全工程能力。
-
成熟度等級細化:雖然基本的成熟度等級框架(如初始級、已管理級、已定義級、定量管理級、優(yōu)化級)保持不變,但新版標準可能會對每個等級的定義、達到該等級的具體標準和評估方法進行細化和明確,使之更符合當前的安全實踐和評估需求。
-
風險管理強化:鑒于風險管理在信息安全中的核心地位,新版標準可能加強了風險管理過程域的內(nèi)容,包括風險識別、分析、評估、處理和監(jiān)控等,確保系統(tǒng)安全工程能夠有效應對不斷變化的威脅環(huán)境。
-
合規(guī)性和法律法規(guī)考慮:隨著數(shù)據(jù)保護法規(guī)如GDPR等的出臺,新標準可能加入了更多關于合規(guī)性管理的要求,幫助組織確保其安全工程實踐符合國內(nèi)外相關法律法規(guī)和標準。
-
技術和工具更新:考慮到技術的快速發(fā)展,新版標準可能引入了對現(xiàn)代安全技術和工具的指導,比如云計算、大數(shù)據(jù)、人工智能等新技術環(huán)境下的安全考量和最佳實踐。
-
評估方法和指標改進:為了提高評估的客觀性和準確性,新標準可能提供了更具體、可操作的評估指標和方法論,便于組織自我評估和第三方認證機構(gòu)進行審核。
這些變化旨在使標準更加適應當前的信息安全挑戰(zhàn),幫助企業(yè)、機構(gòu)和組織建立更加系統(tǒng)化、規(guī)范化和高效的信息安全管理體系。
如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。
....
查看全部
- 現(xiàn)行
- 正在執(zhí)行有效
- 2020-11-19 頒布
- 2021-06-01 實施
文檔簡介
ICS35040
L80.
中華人民共和國國家標準
GB/T20261—2020
代替
GB/T20261—2006
信息安全技術系統(tǒng)安全工程
能力成熟度模型
Informationsecuritytechnology—Systemsecurityengineering—
Capabilitymaturitymodel
(ISO/IEC21827:2008,Informationtechnology—Securitytechniques—
Systemssecurityengineering—Capabilitymaturitymodel,MOD)
2020-11-19發(fā)布2021-06-01實施
國家市場監(jiān)督管理總局發(fā)布
國家標準化管理委員會
GB/T20261—2020
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
概要
0.1…………………Ⅳ
如何使用?
0.2SSE-CMM?…………Ⅴ
使用?的好處
0.3SSE-CMM…………Ⅴ
范圍
1………………………1
規(guī)范性引用文件
2…………………………1
術語和定義
3………………2
系統(tǒng)安全工程概述
4………………………6
安全工程的開發(fā)背景
4.1………………6
安全工程的重要性
4.2…………………7
安全工程組織
4.3………………………7
安全工程生存周期
4.4…………………7
安全工程和其他學科
4.5………………8
安全工程專業(yè)
4.6………………………8
模型體系結(jié)構(gòu)
5……………8
安全工程過程概述
5.1…………………8
?體系結(jié)構(gòu)描述
5.2SSE-CMM………………………11
匯總表
5.3………………19
安全基本實踐
6……………19
安全基本實踐概述
6.1…………………19
管理安全控制
6.2PA01———…………20
評估影響
6.3PA02———………………23
評估安全風險
6.4PA03———…………26
評估威脅
6.5PA04———………………30
評估脆弱性
6.6PA05———……………33
建立保障論據(jù)
6.7PA06———…………36
協(xié)調(diào)安全
6.8PA07———………………39
監(jiān)視安全態(tài)勢
6.9PA08———…………41
提供安全輸入
6.10PA09———…………45
確定安全需要
6.11PA10———…………49
驗證和確認安全
6.12PA11———………………………53
附錄資料性附錄本標準與相比的結(jié)構(gòu)變化情況
A()ISO/IEC21827:2008………56
附錄資料性附錄本標準與的技術性差異及其原因
B()ISO/IEC21827:2008……59
附錄規(guī)范性附錄通用實踐
C()…………61
Ⅰ
GB/T20261—2020
總則
C.1…………………61
能力等級基本執(zhí)行
C.21———…………61
能力等級計劃跟蹤
C.32———…………62
能力等級充分定義
C.43———…………67
能力等級量化控制
C.54———…………71
能力等級持續(xù)改進
C.65———…………73
附錄規(guī)范性附錄項目與組織基本實踐
D()……………76
綜述
D.1…………………76
一般安全注意事項
D.2…………………76
確保質(zhì)量
D.3PA12———………………76
管理配置
D.4PA13———………………81
管理項目風險
D.5PA14———…………84
監(jiān)督和控制技術工作
D.6PA15———…………………88
策劃技術工作
D.7PA16———…………90
定義組織系統(tǒng)工程過程
D.8PA17———………………96
改進組織系統(tǒng)工程過程
D.9PA18———………………99
管理產(chǎn)品線演化
D.10PA19———……………………101
管理系統(tǒng)工程支持環(huán)境
D.11PA20———……………104
提供持續(xù)發(fā)展的技能和知識
D.12PA21———………107
與供方協(xié)調(diào)
D.13PA22———…………112
附錄資料性附錄能力成熟度模型概念
E()…………116
概述
E.1………………116
過程改進
E.2…………………………116
預期結(jié)果
E.3…………………………117
常見誤解
E.4…………………………117
關鍵概念
E.5…………………………118
附錄資料性附錄信息安全服務與安全工程過程域?qū)?/p>
F()……122
附錄資料性附錄與主要變化對比表
G()GB/T20261—XXXXGB/T20261—2006……………123
參考文獻
……………………127
Ⅱ
GB/T20261—2020
前言
本標準按照給出的規(guī)則起草
GB/T1.1—2009。
本標準代替信息技術系統(tǒng)安全工程能力成熟度模型與
GB/T20261—2006《》,GB/T20261—
相比主要技術變化如下主要變化對比表見附錄
2006,(G):
修改了部分規(guī)范性引用文件見第章年版的第章
———(2,20062);
增加了術語和定義即基本實踐能力信息安全事態(tài)信息安全事件過程域風險管
———,“”“”“”“”“”“
理
”;
修改了術語和定義中保障工程組工作產(chǎn)品的定義并把殘留風險修改為殘余風險
———“”“”“”;“”“”
見第章年版的第章
(3,20063);
刪除了術語慣例見年版的
———“”(20063.24);
修改了部分章條標題合并調(diào)整和刪除了部分內(nèi)容關聯(lián)和不適合作為國家標準的內(nèi)容見
———,、(
4.1、4.2、4.3、4.4、4.5、4.6、5.1);
刪除了原第章原第章第章調(diào)整為第章第章年版的第章第章第
———5,6、75、6(20065,6、7
章
);
增加了第章中定義安全測量以及相對于
———6BP.06.03,ISO/IEC21827:2008ISO/IEC21827:
增加及修訂的內(nèi)容見第章
2002(6);
增加了附錄和附錄見附錄附錄
———AB(A、B);
修改了附錄中對能力等級的個級別的定義與現(xiàn)行標準等標準描述一致
———C5,GB/T30271;
修改了附錄中的系列過程域編號與過程域描述不匹配的錯誤信息見
———D(D.6.1.1、D.7.7.3、
D.9.3.3、D.11.1.1、D.11.4、D.11.4.1、D.12.3.1);
增加了附錄中為便于標準模型與現(xiàn)行安全服務映射關系的附錄見附錄
———F(F);
增加了與的主要變化對比表見附錄
———GB/T20261—2006(G)。
本標準使用重新起草法修改采用信息技術安全技術系統(tǒng)安全工程能
ISO/IEC21827:2008《
力成熟度模型
》。
本標準與相比在結(jié)構(gòu)上有一定調(diào)整附錄中列出了本標準與
ISO/IEC21827:2008,AISO/IEC
的章條標號對照一覽表
21827:2008。
本標準與相比存在技術性差異附錄中給出了相應的技術差異及原因的
ISO/IEC21827:2008,B
一覽表
。
本標準做了下列編輯性修改
:
將標準名稱修改為信息安全技術系統(tǒng)安全工程能力成熟度模型
———《》。
請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任
。。
本標準由全國信息安全標準化技術委員會提出并歸口
(SAC/TC260)。
本標準起草單位北京永信至誠科技股份有限公司中國信息安全測評中心中新網(wǎng)絡信息安全股
:、、
份有限公司中國電子技術標準化研究院北京天融信網(wǎng)絡安全技術有限公司北京奇安信科技有限公
、、、
司北京江南天安科技有限公司公安部第三研究所國家信息中心北京郵電大學北京啟明星辰信息
、、、、、
安全技術有限公司
。
本標準主要起草人孫明亮朱勝濤王軍溫哲李斌位華王琰張曉菲蔡晶晶陳冠直王龑
:、、、、、、、、、、、
郭穎鄭新華楊建軍劉賢剛上官曉麗許玉娜任衛(wèi)紅袁靜高亞楠余慧英李小勇呂俐丹侯曉雄
、、、、、、、、、、、、、
米凱吳璇喬鵬劉蕾杰梁峰
、、、、。
本標準所代替標準的歷次版本發(fā)布情況為
:
———GB/T20261—2006。
Ⅲ
GB/T20261—2020
引言
本標準依據(jù)國際標準最新版本結(jié)合國內(nèi)最優(yōu)實踐從系統(tǒng)安全工程的科
(ISO/IEC21827:2008),,
學性和可指導性出發(fā)進行修訂對標準術語安全工程過程域及能力維進行更新和優(yōu)化
,、。
01概要
.
在計算機程序開發(fā)中無論是操作系統(tǒng)軟件安全管理和執(zhí)行功能軟件應用程序中間件
———、、、———
各種各樣的組織都在實踐安全工程因此產(chǎn)品開發(fā)者服務提供者系統(tǒng)集成者系統(tǒng)管理者甚至是
。,、、、,
安全專家都要求有合適的方法和實踐部分組織關注高層次問題例如涉及運行使用或系統(tǒng)體系結(jié)
。(
構(gòu)另一部分組織則涉及低層次問題例如機構(gòu)選擇或者設計還有些組織兩者都涉及許多組織可
),(,),。
能專門研究某種特定類型的技術或者某個專業(yè)范疇例如航海
,(,)。
?1)是針對所有此類組織而設計的使用?并不意味著一個組織就比另一個
SSE-CMM。SSE-CMM
組織更關注安全也不意味著任何?使用方法是必需的組織的業(yè)務核心也不會因為使用
,SSE-CMM。
?而發(fā)生偏離
SSE-CMM。
根據(jù)組織的業(yè)務核心使用某些而不是全部已定義的安全工程實踐除此之外組織可能需要考
,()。,
慮模型范圍內(nèi)不同實踐之間的關系以確定它們的可用性下面的例子說明了各種不同的組織可以把
,。
?用于軟件系統(tǒng)設備開發(fā)和運行
SSE-CMM、、。
本標準與過程評估系列標準系列特別是有關因為它們都涉
(ISO/IEC330XX),ISO/IEC33020,
及過程改進和能力成熟度評估但是過程評估系列標準適用于所有過程而?則專注于安
。,,SSE-CMM
全性
。
安全服務提供者
1)
為了測量一個組織執(zhí)行風險評估的過程能力要使用幾組不同的實踐在系統(tǒng)開發(fā)或集成期間可
,。,
能需要評估該組織在確定和分析安全脆弱性以及評估運行影響方面的能力在系統(tǒng)運行期間下可能
。,
需要評估該組織在監(jiān)視系統(tǒng)安全態(tài)勢識別和分析安全脆弱性以及評估運行影響方面的能力
、。
對策開發(fā)者
2)
在一個組專注對策開發(fā)的情況下可能要通過?的實踐組合來描述組織的過程能力特
,SSE-CMM
性該模型包含若干提出確定和分析安全脆弱性評估運行影響以及向涉及的其他組例如軟件組提
。、()
供輸入和指南的實踐提供制定對策服務的組需要理解這些實踐之間的關系
。。
產(chǎn)品開發(fā)者
3)
?包含部分專門針對理解客戶安全需要的實踐要求與客戶反復商討以便確定這些需
SSE-CMM。,
要如果某個產(chǎn)品的開發(fā)不受特定客戶的約束該產(chǎn)品的客戶就是通用客戶在這種情況下如果要求
。,。,
考慮客戶可以把產(chǎn)品營銷組或其他組作為假想的客戶
,。
安全工程專業(yè)人員都理解產(chǎn)品背景和產(chǎn)品開發(fā)方法隨產(chǎn)品本身的變化而變化不過已經(jīng)知道有
,。,
一些與產(chǎn)品和項目背景有關的問題對產(chǎn)品的構(gòu)思生產(chǎn)交付和維護方法有影響下列問題對
、、。SSE-
?特別有意義
CMM:
客戶基本類型產(chǎn)品系統(tǒng)和服務
●(、);
?和均是美國卡內(nèi)基梅隆大學的服務商標受相關法律和法規(guī)的
1)CMMCapabilityMaturityModel·(CMU),
保護
。
Ⅳ
GB/T20261—2020
保障要求高與低
●();
對開發(fā)和運行組織的支持
●。
下面討論兩個不同客戶群之間的差異保證要求的不同程度以及?中每個差異的影響
,SSE-CMM。
這些是作為組織或行業(yè)部門如何確定在其環(huán)境中正確使用?的示例
SSE-CMM。
特定的行業(yè)部門
4)
各個行業(yè)反映了其特定的文化術語和交流風格通過盡可能降低角色相關性和組織結(jié)構(gòu)關聯(lián)性
、。,
可預見?的概念可以容易地在所有行業(yè)部門中轉(zhuǎn)化成其自身的語言和文化
SSE-CMM。
02如何使用SSE-CMM?
.?
?和應用該模型的方法例如評估方法的預期用途如下
SSE-CMM(:):
工具工程組織用于評價其安全工程實踐和定義改進
●———;
方法安全工程評價組織例如認證機構(gòu)和評價機構(gòu)用于確定組織能力作為系統(tǒng)或產(chǎn)品
●———()(
安全保障的收入信任度
);
標準機制客戶用于評價提供者的安全工程能力
●———。
評估范圍應由評估機構(gòu)確定如果有必要應與評估人員討論
,。
如果使用模型和評估方法的用戶透徹地理解模型的正確使用法及其內(nèi)在的限制條件則在應用模
,
型進行自我改進和選擇供方的過程中可使用該評價技術
。
關于使用過程評估的其他信息可以在中找到
,ISO/IECTR33014:2013。
03使用SSE-CMM?的好處
.
安全的趨勢是從保護涉密的政府數(shù)據(jù)向包括金融交易合同協(xié)議個人信息以及互聯(lián)網(wǎng)在內(nèi)的更加
、、
廣泛的利害攸關領域轉(zhuǎn)移已經(jīng)出現(xiàn)相應的維護和保護信息的產(chǎn)品系統(tǒng)和服務的衍生物這些安全
。、。
產(chǎn)品和系統(tǒng)一般以兩種方式之一進入市場長期而昂貴的評價或者無需評價在前一種情況下可信的
:。,
產(chǎn)品往往要在確定它們的特性是必要的之后很長時間并且那些已部署的安全系統(tǒng)不再應付當前威脅
時才到達市場在后一種情況下獲取者和用戶一定要只依賴產(chǎn)品或者系統(tǒng)開發(fā)者或運營商的安全聲
,。,
明而且以往的安全工程服務往往都帶著這種警告進入市場
。,。
這種情況要求組織以更成熟的方式實施安全工程特別是在生產(chǎn)和準備安全系統(tǒng)和可信產(chǎn)品時
。,
需要下列品質(zhì)
:
連續(xù)性在以前的工作中獲取的知識應用于今后的工作中
●———;
可重復性確保項目可以成功重復的方法
●———;
有效性有助于開發(fā)者和評價者更有效工作的方法
●———;
保障指出安全要求的置信度
●———。
為了準備這些要求需要某種機制用于指導組織去了解和改進它們的安全工程實踐正在開發(fā)的
,。
?以改進所要交付的安全系統(tǒng)可信產(chǎn)品和安全工程服務的質(zhì)量和可用性以及降低其成本
SSE-CMM,、
為目標提高安全工程實踐水平以適應這些需求特別是可預見到有下列好處
,,。:
對工程組織
1)
工程組織包括系統(tǒng)集成商應用開發(fā)商商品廠商和服務提供商對于這些組織來說?
、、。,SSE-CMM
的好處包括
:
由于可重復可預計的過程和實踐使返工減少而帶來的節(jié)約
●、;
真實執(zhí)行能力特別是來源選擇方面的信譽
●,;
專注于度量到的組織能力成熟度和改進
●()。
Ⅴ
GB/T20261—2020
對于獲取組織
2)
獲取者包括從外部內(nèi)部來源獲得的系統(tǒng)產(chǎn)品和服務的組織和最終用戶對于這些組織
/、。,SSE-
?的好處包括
CMM:
可重用的標準置標語言和評價手段
●;
減少選擇不合格投標者的風險性能費用進度
●(、、);
由于以業(yè)界標準為基礎統(tǒng)一評估引起的異議不多
●,;
產(chǎn)品或服務達到可預計可重復的信任程度
●、。
對于評價組織
3)
評價組織包括系統(tǒng)認證機構(gòu)系統(tǒng)認可機構(gòu)產(chǎn)品評價機構(gòu)和產(chǎn)品評估機構(gòu)對于這些組織
、、。,SSE-
?的好處包括
CMM:
過程評估結(jié)果可重用與系統(tǒng)或產(chǎn)品變更無關
●,;
安全工程以及與其他學科的集成可信
●;
用證據(jù)證明能力減少安全評價工作量
●,。
Ⅵ
GB/T20261—2020
信息安全技術系統(tǒng)安全工程
能力成熟度模型
1范圍
本標準給出了系統(tǒng)安全工程能力成熟度模型以下簡稱?是一個過程參考模型它關注
(SSE-CMM),
信息技術安全領域內(nèi)的某個系統(tǒng)或者若干相關系統(tǒng)實現(xiàn)安全的要求在領域內(nèi)
(ITS)。ITS,SSE-
?關注的是用來實現(xiàn)的過程尤其是這些過程的成熟度?的目的不是規(guī)定組織
CMMITS,。SSE-CMM
使用的具體過程更不會涉及具體的方法而是希望準備使用?的組織利用其現(xiàn)有的過
,,SSE-CMM
程那些以其他任何信息技術安全指導文件為基礎的過程
———。
本標準界定了?是專門用于改進和評估安全工程能力的模型不能獨立于其他工程學科
SSE-CMM
溫馨提示
- 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
- 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
- 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。
最新文檔
- 2024-2030年中國定制酒行業(yè)營銷創(chuàng)新模式及未來5發(fā)展趨勢報告
- 2024年物流駕駛員服務外包合同
- 眉山職業(yè)技術學院《災害衛(wèi)生學》2023-2024學年第一學期期末試卷
- 2024年度拍賣藝術品線上線下銷售合作協(xié)議范本3篇
- 馬鞍山職業(yè)技術學院《企業(yè)經(jīng)營實戰(zhàn)》2023-2024學年第一學期期末試卷
- 馬鞍山學院《機器學習及應用》2023-2024學年第一學期期末試卷
- 2024年模具設計與生產(chǎn)合同
- 洛陽職業(yè)技術學院《公共衛(wèi)生理論和實踐》2023-2024學年第一學期期末試卷
- 2025年連云港貨運上崗證模擬考試0題
- 2024年古建筑修復施工勞務分包合同范本及細則2篇
- 期末綜合卷(含答案) 2024-2025學年蘇教版數(shù)學六年級上冊
- 2025春夏運動戶外行業(yè)趨勢白皮書
- 中醫(yī)筋傷的治療
- 【MOOC】英文技術寫作-東南大學 中國大學慕課MOOC答案
- 護理產(chǎn)科健康教育
- 《〈論語〉十二章》說課稿 2024-2025學年統(tǒng)編版高中語文選擇性必修上冊
- 2024年21起典型火災案例及消防安全知識專題培訓(消防月)
- 人教版四年級上冊數(shù)學【選擇題】專項練習100題附答案
- 從創(chuàng)意到創(chuàng)業(yè)智慧樹知到期末考試答案章節(jié)答案2024年湖南師范大學
- DL-T 1476-2023 電力安全工器具預防性試驗規(guī)程
- 國開《Windows網(wǎng)絡操作系統(tǒng)管理》形考任務4-配置故障轉(zhuǎn)移群集服務實訓
評論
0/150
提交評論