《信息技术 安全技术 系统安全工程 能力成熟度模型-编制说明》.pdfVIP

国家标准草案稿资料 一、 工作简况 1.1 任务来源 2018年9月，全国信息安全标准化技术委员会 （SAC/TC260）下达了制定 《信 息技术 系统安全工程 能力成熟度模型》国家标准的专项项目任务书。项目的承 担单位是北京永信至诚科技股份有限公司。2018年9月，北京永信至诚科技股份 有限公司启动了该项目，开始修订 《信息技术 系统安全工程 能力成熟度模型》 标准文档。 1.2主要起草单位和工作组成员 本标准主要由北京永信至诚科技股份有限公司起草，参加单位有：中国信息 安全测评中心、中国电子技术标准化研究院、公安部第三研究所、国家信息中心、 北京江南天安科技有限公司、阿里巴巴 （北京）软件服务有限公司。 本标准主要起草人：孙明亮、李斌、位华、王琰、蔡晶晶、余慧英、李炜、 杨建军、上官晓丽、任卫红、陈永刚、陈冠直等。 1.3主要工作过程 1.3.1项目启动 国家标准GB/T20261-2006 《信息技术 系统安全工程能力成熟度模型》已经 运行多年，该标准为修订采用国际标准ISO/IEC21827:2002，随着国内信息安全 形势的发展，已经不完全适用于国内信息安全行业，与国内信息安全服务存在诸 多不适应之处。为了推动 《信息技术 系统安全工程能力成熟度模型》标准化工 作的进展，北京永信至诚科技股份有限公司、中国信息安全测评中心等项目组内 部开始进行有关系统安全工程标准和方法的研究工作。本次修订工作主要是修改 采用ISO/IEC 21827:2008 《信息技术 安全技术 系统安全工程能力成熟度模 型®》（Informationtechnology — Securitytechniques —SystemsSecurity Engineering - Capability Maturity Model） （SSE-CMM®），结合国内最优安 全实践修订国家标准GB/T20261-2006 《信息技术 系统安全工程能力成熟度模 型》。本次在修订过程中，对于ISO/IEC21827:2008引用的国际标准中已经撤销、 以及旧版本的进行更新，以及对于GB/T20261-2006中已经撤销、以及旧版本的进 行更新，对相关术语、内容与最新国际、国家标准进行核实、更新。 国家标准草案稿资料 2018年9月，经全国信息安全标准化委员会专家评审通过，《信息技术 系统 安全工程 能力成熟度模型》标准编制项目正式立项。标准编制任务下达后，由 本项目负责人组织相关技术人员立即成立了标准编制小组，正式启动《信息技术 系统安全工程 能力成熟度模型》编制工作。 1.3.2标准草案阶段 2018年9月形成 《信息技术 系统安全工程 能力成熟度模型》第一稿。 2018年10月15日参加全国信息安全标准化委员会专家评审，与会专家对本标 准给予了修改意见。 序 处理 意见内容 提出单位 备注 号 意见 1. 草案中部分注解不符合国内习惯，建议 对图例完全变成中文，对标准的修 修改或删除；部分图例中英文建议改成 中国信息 订内容进行了细化，编制说明中内 中文、重画；修订的内容与原标准之间 测评中心 采纳 容进行更新 的说明，比较在编制说明进行论述。 2. 编制说明补充与国际标准的关系，标准 中国电子 补充与国际标准的关系，对术语进 新旧版本的差异；标准文本要认真校 技术标准 采纳 行更新、校对，删除了5.4 章节 对、统一术语；建议删去5.4 条 化研究院 3. 文本的引用标准不够统一予以补充；此 原解放军 对文本引用的标准进行了统一，对 标准文本与21827、15288 标准的关 信息安全 标准中涉及到的ISO/IEC