2標準草案階段全國信息安全標準化技術(shù)委員會

1、國家標準草案稿資料國家標準信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型（修訂）編制說明一、 工作簡況1.1 任務來源2018年9月，全國信息安全標準化技術(shù)委員會（SAC/TC260）下達了制定信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型國家標準的專項項目任務書。項目的承擔單位是北京永信至誠科技股份有限公司。2018年9月，北京永信至誠科技股份有限公司啟動了該項目，開始修訂信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型標準文檔。1.2主要起草單位和工作組成員本標準主要由北京永信至誠科技股份有限公司起草，參加單位有：中國信息安全測評中心、中國電子技術(shù)標準化研究院、公安部第三研究所、國家信息中心、北京江南天安科技有限公

2、司、阿里巴巴（北京）軟件服務有限公司。本標準主要起草人：孫明亮、李斌、位華、王琰、蔡晶晶、余慧英、李煒、楊建軍、上官曉麗、任衛(wèi)紅、陳永剛、陳冠直等。 1.3主要工作過程1.3.1項目啟動國家標準GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程能力成熟度模型已經(jīng)運行多年，該標準為修訂采用國際標準ISO/IEC 21827:2002，隨著國內(nèi)信息安全形勢的發(fā)展，已經(jīng)不完全適用于國內(nèi)信息安全行業(yè)，與國內(nèi)信息安全服務存在諸多不適應之處。為了推動信息技術(shù) 系統(tǒng)安全工程能力成熟度模型標準化工作的進展，北京永信至誠科技股份有限公司、中國信息安全測評中心等項目組內(nèi)部開始進行有關(guān)系統(tǒng)安全工程標準和方法的研究工

3、作。本次修訂工作主要是修改采用ISO/IEC 21827:2008 信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model）（SSE-CMM®），結(jié)合國內(nèi)最優(yōu)安全實踐修訂國家標準GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程能力成熟度模型。本次在修訂過程中，對于ISO/IEC 21827:2008引用的國際標準中已經(jīng)撤銷、以及舊版本的進行更新，以及對于GB/T20261-2006中已

4、經(jīng)撤銷、以及舊版本的進行更新，對相關(guān)術(shù)語、內(nèi)容與最新國際、國家標準進行核實、更新。2018年9月，經(jīng)全國信息安全標準化委員會專家評審通過，信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型標準編制項目正式立項。標準編制任務下達后，由本項目負責人組織相關(guān)技術(shù)人員立即成立了標準編制小組，正式啟動信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型編制工作。1.3.2標準草案階段2018年9月形成信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型第一稿。2018年10月15日參加全國信息安全標準化委員會專家評審，與會專家對本標準給予了修改意見。序號意見內(nèi)容提出單位處理意見備注1.草案中部分注解不符合國內(nèi)習慣，建議修改或刪除；部分圖例中英

5、文建議改成中文、重畫；修訂的內(nèi)容與原標準之間的說明，比較在編制說明進行論述。中國信息測評中心采納對圖例完全變成中文，對標準的修訂內(nèi)容進行了細化，編制說明中內(nèi)容進行更新2.編制說明補充與國際標準的關(guān)系，標準新舊版本的差異；標準文本要認真校對、統(tǒng)一術(shù)語；建議刪去5.4條中國電子技術(shù)標準化研究院采納補充與國際標準的關(guān)系，對術(shù)語進行更新、校對，刪除了5.4章節(jié)3.文本的引用標準不夠統(tǒng)一予以補充；此標準文本與21827、15288標準的關(guān)系沒講清楚；修改的內(nèi)容應突出出來；總體文本修訂與原標準結(jié)論緊密。原解放軍信息安全測評認證中心采納對文本引用的標準進行了統(tǒng)一，對標準中涉及到的ISO/IEC 21827：

6、2008、15288等標準的關(guān)系進行了細致闡述。4.編制說明第一、二章敘述從修訂角度而非編制角度；詳述修改的內(nèi)容和理由原解放軍信息安全測評認證中心采納對編制說明內(nèi)容進行調(diào)整，從修訂角度的主要內(nèi)容進行闡述；對修訂的內(nèi)容進行詳述5.修改采用在正文的前言和編制說明中明細；文中翻譯不統(tǒng)一阿里云計算有限公司采納對文本的正文前言和編制說明進行細化，對文中翻譯進行統(tǒng)一。6.在前言中應標明國際標準修改采用和對國家標準的修改；編制說明中說明修改和修改的內(nèi)容與理由；對原國際標準過往的背景描述、過程敘述等對應裁剪或精煉概述；圖示應漢化。國家信息技術(shù)安全研究中心采納突出了本次是修訂國家標準，修改采用國際標準，編制說明

7、中增加了修訂標準的理由，對原標準背景進行描述，對文本中的內(nèi)容進行了精簡，圖片進行了漢化。7.明確標準是修訂標準，按照修訂標準格式進行修改；文字需要進一步細化嚴謹；翻譯痕跡嚴重需要本地化；術(shù)語全文要一致統(tǒng)一。中國電子技術(shù)標準化研究院采納明確了本次標準是修訂標準，對文本正文進行細化，對術(shù)語進行了統(tǒng)一。2018年10月18日標準修訂組召開內(nèi)部會議，針對2018年10月15日專家組意見對標準進行修訂。2018年10月23日參加全國信息安全標準化委員會2018年度第二次會議周，會議上向WG5組做工作匯報，形成本標準推進到征求意見稿階段的結(jié)論。序號意見內(nèi)容提出單位處理意見備注8.建議繼續(xù)完善標準文本，目前

8、標準文本過于累贅。國家電網(wǎng)公司信息安全實驗室（中國電力科學研究院）采納對標準文本進行了精簡9.圖例描述的不是很清楚，例如圖2風險，不能完全表達意思；6.2.2中翻譯過來的描述需要注意，中文11個部分已經(jīng)不是按字母順序排序了西門子（中國）有限公司采納對圖例的描述進行了細化，對11PA過程域重新調(diào)整為按字母順序進行排序10.本標準修改采用ISO/IEC 21827:2008, 建議在前言部分明確說明修改的內(nèi)容。微軟（中國）有限公司采納對修改采用ISO/IEC 21827:2008的內(nèi)容進行了細化11.能力成熟度模型的分類描述不清楚，標準成文不像是一個標準的格式中國工程物理研究院電子工程研究所部分采

9、納對標準文本進行了精簡12.內(nèi)容還不夠成熟，建議繼續(xù)完善工業(yè)和信息化部電信研究院采納進一步細化了文本13.建議適當精簡文稿的篇幅長度甲骨文軟件研究開發(fā)中心（北京）有限公司采納進一步精簡文本14.標準內(nèi)容有待提煉并且需要描述清晰浪潮電子信息產(chǎn)業(yè)股份有限公司采納進一步精簡文本2018年11月6日標準修訂組召開內(nèi)部工作組會議，針對全國信息安全標準化委員會2018年度青島會議周WG5組專家提出的修改意見進行討論。2018年11月12日標準修訂組召開內(nèi)部會議，對標準文本進行征求意見稿階段前的進一步討論。2018年10月21日參加全國信息安全標準化委員會專家評審，與會專家對本標準給予了修改意見，建議推薦形

10、成征求意見稿。序號意見內(nèi)容提出單位處理意見備注15.編制說明需要增加背景介紹及修改主要部分，工作過程中每次會議收集主要意見如何處理情況；意見匯總表采納補充修改情況；標準文本譯文不夠準確建議推敲后完善；標準名稱中信息技術(shù)建議改成信息安全技術(shù)，建議編制組與秘書處溝通一下情況，可先改名稱。公安部三所部分采納在編制說明中增加了每次會議意見及處置情況，對標準文本進行了進一步完善，對于將標準名稱“信息技術(shù)”改為“信息安全技術(shù)”在2018年10月15日的信安標委的會議上已經(jīng)進行了討論，會議專家對于名稱的更改已經(jīng)進行否定16.規(guī)范性引用文件進行梳理建議修改參考；中國網(wǎng)絡安全審查技術(shù)與認證中心采納已經(jīng)對規(guī)范性文

11、件進行了梳理17.確定系統(tǒng)安全來龍去脈、捕獲系統(tǒng)運行的安全視圖建議類似翻譯內(nèi)容修改為常用可理解的簡化內(nèi)容中國網(wǎng)絡安全審查技術(shù)與認證中心采納對文本內(nèi)容進行了細化、精簡，18.標準中翻譯內(nèi)容建議符合國內(nèi)習慣、本土化；注釋可以使用中文習慣。中國信息測評中心采納對文本內(nèi)容進行細化、本地化、精簡19.規(guī)范性引用標準文件建議全文搜索，沒有使用到文件建議列為參考文件中國電子技術(shù)標準化研究院采納20.識別系統(tǒng)的目的，以便確定龍去脈。缺字情況屬于格式問題；漏掉一條青島會議意見建議補充；標準文本過于累贅像是講故事，7.2.5.3注釋還有例子不像標準文本內(nèi)容。中國電力科學院采納對標準文本進行細化、精簡，青島會議漏掉

12、意見進行補充處置21.標準文中翻譯不要直譯，專有名詞建議反復推敲形成術(shù)語；意見匯總表每條意見進行說明不要合并。阿里云技術(shù)有限公司對文本內(nèi)容進行精簡、提煉二、 標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題本標準編制原則有4個，參考多個國內(nèi)、外的標準方法論結(jié)合中國系統(tǒng)安全工程的實際情況為標準編寫提供了大量的依據(jù)，本標準編寫的目的主要是為規(guī)范我國信息安全服務行業(yè)的服務行為，為系統(tǒng)安全工程能力的評判提供一個科學的理論方法。1、標準編制原則如下：a) 規(guī)范性：嚴格按照國家標準編制流程進行標準的編制工作，力求達到編制的標準思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整； b) 可操作性和實用性：利用多年的實踐

13、經(jīng)驗，結(jié)合行業(yè)現(xiàn)狀進行標準的編制，力求標準在具體執(zhí)行中操作性和實用性強； c）協(xié)調(diào)一致性：廣泛征求業(yè)界專家的意見，同時充分考慮相關(guān)標準的關(guān)聯(lián)關(guān)系，力求達到編制標準的不同使用方的協(xié)調(diào)一致和標準之間的協(xié)調(diào)統(tǒng)一； d) 科學性與先進性：借助于國際上在信息安全保障和能力成熟度等方面的科學方法及思路，進行標準文本的設計和編寫。2、標準主要內(nèi)容的理論依據(jù)及解決的問題如下：a）對原標準GB/T20261-2006信息技術(shù) 系統(tǒng)安全工程 能力成熟度模型中第六章安全工程三個領(lǐng)域的內(nèi)涵及三者之間的內(nèi)涵關(guān)系進行細化，對安全工程能力成熟模型中域維、能力維以及資源配置的關(guān)系進行梳理；b）對第七章中11個過程域注釋進行重

14、新解讀，對其中過于抽象信息進行去除，結(jié)合國內(nèi)外的最優(yōu)實踐進行對應，對每個過程域中的基本實踐在過程域中發(fā)揮的作用與國內(nèi)實踐信息進行匹配，以及對11個過程域之間的內(nèi)在關(guān)系進行細致闡述；c）對附錄A中能力等級的公共特征與國際最新標準進行匹配，對公共特征的通用慣例行進重新梳理；d）對附錄B中的基本慣例內(nèi)容進行重新梳理，對不符合國內(nèi)外最新研究成果、國內(nèi)系統(tǒng)安全工程服務實際情況不符內(nèi)容進行修訂；e）對安全工程能力成熟度模型的評價對象進行再細化，由老版標準的針對整個安全工程全生命周期評價方法，增加針對我國現(xiàn)有安全服務的實際情況的評價方法，增加對單個過程域、多個過程域組合的服務形式的評價方法等。三、主要試驗或

15、驗證情況分析無。四、知識產(chǎn)權(quán)情況說明無。五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果信息安全測評中心依據(jù)中央編辦賦予的業(yè)務職能，自2002年起開展信息安全服務資質(zhì)業(yè)務。從2007年開始運作信息安全系統(tǒng)安全工程資質(zhì)業(yè)務，至今已經(jīng)基本覆蓋了我國從事系統(tǒng)安全工程的組織，利用本標準闡述的能力成熟度模型客觀的評價了組織在信息安全服務領(lǐng)域各類型服務的能力，獲得系統(tǒng)安全工程企業(yè)的普遍認同，為國家各行業(yè)對系統(tǒng)安全工程的采購提供了有力依據(jù)，為系統(tǒng)安全工程的提供方提供科學的評價自身能力水平的方法，對于規(guī)范系統(tǒng)安全工程行業(yè)起到了強有力的指導作用，避免了采購不科學信息安全服務所造成的不可估量的經(jīng)濟損失、政治影響。六、采用國際標準和國外先進標準情況采用的國際標準主要為：ISO/IEC 21827:2008信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型®（Information technology Security techniques Systems Security Engineering - Capability Maturity Model®）（SSE-CMM®），主要參考SSE-CMM中能力成熟度的思路，結(jié)合我國系統(tǒng)安全工程的實際情況進行構(gòu)造系統(tǒng)安全工程能力成熟度模型。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)