GB∕T 20261-2020 信息安全技术 系统安全工程 能力成熟度模型.docxVIP

ICS35.040L80

中华人民共和国国家标准

GB/T20261—2020

代替GB/T20261—2006

信息安全技术系统安全工程能力成熟度模型

Informationsecuritytechnology—Systemsecurityengineering—Capabilitymaturitymodel

2020-11-19发布2021-06-01实施

国家市场监督管理总局国家标准化管理委员会

发布

I

GB/T20261—2020

目次

前言 Ⅲ

引言 IV

0.1概要 IV

0.2如何使用SSE-CMM@? V

0.3使用SSE-CMM四的好处 V

1范围 1

2规范性引用文件 1

3术语和定义 2

4系统安全工程概述 6

4.1安全工程的开发背景 6

4.2安全工程的重要性 7

4.3安全工程组织 7

4.4安全工程生存周期 7

4.5安全工程和其他学科 8

4.6安全工程专业 8

5模型体系结构 8

5.1安全工程过程概述 8

5.2SSE-CMM@体系结构描述 11

5.3汇总表 19

6安全基本实践 19

6.1安全基本实践概述 19

6.2PA01———管理安全控制 20

6.3PA02——评估影响 23

6.4PA03——评估安全风险 26

6.5PA04——评估威胁 30

6.6PA05——评估脆弱性 33

6.7PA06——建立保障论据 36

6.8PA07——协调安全 39

6.9PA08——监视安全态势 41

6.10PA09——提供安全输入 45

6.11PA10——确定安全需要 49

6.12PA11——验证和确认安全 53

附录A(资料性附录)本标准与ISO/IEC21827:2008相比的结构变化情况 56

附录B(资料性附录)本标准与ISO/IEC21827:2008的技术性差异及其原因 59

附录C(规范性附录)通用实践 61

Ⅱ

GB/T20261—2020

C.1总则 61

C.2能力等级1——基本执行 61

C.3能力等级2——计划跟踪 62

C.4能力等级3——充分定义 67

C.5能力等级4——量化控制 71

C.6能力等级5——持续改进 73

附录D(规范性附录)项目与组织基本实践 76

D.1综述 76

D.2一般安全注意事项 76

D.3PA12——确保质量 76

D.4PA13———管理配置 81

D.5PA14——管理项目风险 84

D.6PA15——监督和控制技术工作 88

D.7PA16——策划技术工作 90

D.8PA17——定义组织系统工程过程 96

D.9PA18——改进组织系统工程过程 99

D.10PA19——管理产品线演化 101

D.11PA20——管理系统工程支持环境 104

D.12PA21——提供持续发展的技能和知识 107

D.13PA22——与供方协调 112

附录E(资料性附录)能力成熟度模型概念 116

E.1概述 116

E.2过程改进 116

E.3预期结果 117

E.4常见误解 117

E.5关键概念 118

附录F(资料性附录)信息安全服务与安全工程过程域对应表 122

附录G(资料性附录)GB/T20261—XXXX与GB/T20261—2006主要变化对比表 123

参考文献 127

Ⅲ

GB/T20261—2020

前言

本标准按照GB/T1.1—2009给出的规则起草。

本标准代替GB/T20261—2006《信息技术系统安全工程能力成熟度模型》,与GB/T20