GB/T 20261-2006信息技術(shù)系統(tǒng)安全工程能力成熟度模型

犐犆犛３５．０４０

犔８０

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅／犜２０２６１—２００６

信息技術(shù)系統(tǒng)安全工程

能力成熟度模型

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛狔狊狋犲犿狊狊犲犮狌狉犻狋狔犲狀犵犻狀犲犲狉犻狀犵—

犆犪狆犪犫犻犾犻狋狔犿犪狋狌狉犻狋狔犿狅犱犲犾

（ＩＳＯ／ＩＥＣ２１８２７：２００２，ＭＯＤ）

２００６０３１４發(fā)布２００６０７０１實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

書

犌犅／犜２０２６１—２００６

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４背景!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．１開發(fā)原因!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．２安全工程的重要性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

４．３意見一致!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５本標(biāo)準(zhǔn)的編排結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６模型體系結(jié)構(gòu)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．１安全工程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．２安全工程過(guò)程綜述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．３ＳＳＥＣＭＭ○Ｒ體系結(jié)構(gòu)描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．４匯總表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７安全基本慣例!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７．１ＰＡ０１———管理安全控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

７．２ＰＡ０２———評(píng)估影響!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

７．３ＰＡ０３———評(píng)估安全風(fēng)險(xiǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

７．４ＰＡ０４———評(píng)估威脅!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

７．５ＰＡ０５———評(píng)估脆弱性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

７．６ＰＡ０６———建立保障論據(jù)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

７．７ＰＡ０７———協(xié)調(diào)安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

７．８ＰＡ０８———監(jiān)視安全態(tài)勢(shì)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

７．９ＰＡ０９———提供安全輸入!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

７．１０ＰＡ１０———確定安全需要!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

７．１１ＰＡ１１———驗(yàn)證和確認(rèn)安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!４６

附錄Ａ（規(guī)范性附錄）通用慣例!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

Ａ．１總則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

Ａ．２能力等級(jí)１———非正式執(zhí)行!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

Ａ．３能力等級(jí)２———策劃和跟蹤!!!!!!!!!!!!!!!!!!!!!!!!!!!４９

Ａ．４能力等級(jí)３———妥善定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!５２

Ａ．５能力等級(jí)４———定量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!５６

Ａ．６能力等級(jí)５———持續(xù)改進(jìn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!５７

附錄Ｂ（規(guī)范性附錄）項(xiàng)目和組織基本慣例!!!!!!!!!!!!!!!!!!!!!!!６０

Ｂ．１綜述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６０

Ｂ．２一般安全注意事項(xiàng)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６０

Ｂ．３ＰＡ１２———確保質(zhì)量!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６０

Ⅰ

書

犌犅／犜２０２６１—２００６

Ｂ．４ＰＡ１３———管理配置!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６４

Ｂ．５ＰＡ１４———管理項(xiàng)目風(fēng)險(xiǎn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

Ｂ．６ＰＡ１５———監(jiān)督和控制技術(shù)工作!!!!!!!!!!!!!!!!!!!!!!!!!!６９

Ｂ．７ＰＡ１６———策劃技術(shù)工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７１

Ｂ．８ＰＡ１７———定義組織系統(tǒng)工程過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!７６

Ｂ．９ＰＡ１８———改進(jìn)組織系統(tǒng)工程過(guò)程!!!!!!!!!!!!!!!!!!!!!!!!!７８

Ｂ．１０ＰＡ１９———管理產(chǎn)品線演化!!!!!!!!!!!!!!!!!!!!!!!!!!!!８０

Ｂ．１１ＰＡ２０———管理系統(tǒng)工程支持環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!８１

Ｂ．１２ＰＡ２１———提供持續(xù)發(fā)展的技能和知識(shí)!!!!!!!!!!!!!!!!!!!!!!!８４

Ｂ．１３ＰＡ２２———與供方協(xié)調(diào)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８８

附錄Ｃ（資料性附錄）能力成熟度模型概念!!!!!!!!!!!!!!!!!!!!!!!９１

Ｃ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９１

Ｃ．２過(guò)程改進(jìn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９１

Ｃ．３預(yù)期結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９２

Ｃ．４常見誤解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９２

Ｃ．５關(guān)鍵概念!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９３

Ⅱ

犌犅／犜２０２６１—２００６

前言

本標(biāo)準(zhǔn)修改采用ＩＳＯ／ＩＥＣ２１８２７：２００２《信息技術(shù)系統(tǒng)安全工程能力成熟度模型》（英文版），主

要修改內(nèi)容如下：

———在２規(guī)范性引用文件中增加ＧＢ／Ｔ２００００．１、ＧＢ／Ｔ９３８７．２、ＧＢ／Ｔ１８３３６．１和ＧＢ／Ｔ１１４５７；

———在２規(guī)范性引用文件中將ＩＳＯ／ＩＥＣ１５５０４、ＩＳＯ／ＩＥＣ１５２８８的引用版本修改為最新版本；

———在３術(shù)語(yǔ)和定義中增加了“慣例”作為３．２４條，原國(guó)際標(biāo)準(zhǔn)中３．２４條以后的術(shù)語(yǔ)編號(hào)依次

下移；

———排除原國(guó)際標(biāo)準(zhǔn)中存在的錯(cuò)誤。例如圖５中橫縱坐標(biāo)的含義標(biāo)識(shí)順序顛倒，本標(biāo)準(zhǔn)中不存在

“分析候選解決方案”這個(gè)過(guò)程域。

本標(biāo)準(zhǔn)是系統(tǒng)安全工程的一個(gè)過(guò)程參考模型，關(guān)注的是信息技術(shù)安全領(lǐng)域內(nèi)某個(gè)或若干個(gè)相關(guān)系

統(tǒng)實(shí)現(xiàn)安全的需求，其主要內(nèi)容描述了用來(lái)實(shí)現(xiàn)信息技術(shù)安全的過(guò)程，尤其是過(guò)程的成熟度。

本標(biāo)準(zhǔn)的附錄Ａ和附錄Ｂ為規(guī)范性附錄，附錄Ｃ為資料性附錄。

本標(biāo)準(zhǔn)由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。

本標(biāo)準(zhǔn)由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本標(biāo)準(zhǔn)起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所、中國(guó)電子科技集團(tuán)公司第三十研究所、北京思樂(lè)信

息技術(shù)有限公司。

本標(biāo)準(zhǔn)主要起草人：周平、吳源俊、王新杰、魏忠。

Ⅲ

犌犅／犜２０２６１—２００６

引言

在計(jì)算機(jī)程序開發(fā)中———無(wú)論是操作系統(tǒng)軟件、安全管理和執(zhí)行功能、軟件、應(yīng)用程序中間件———

各種各樣的組織實(shí)施安全工程。因此，產(chǎn)品開發(fā)者、服務(wù)提供者、系統(tǒng)集成者、系統(tǒng)管理者，甚至是安全

專家都要求有合適的方法和慣例。在這些組織中，有些組織涉及高層次問(wèn)題（例如涉及運(yùn)行使用或系統(tǒng)

體系結(jié)構(gòu)），另一些組織則關(guān)注低層次問(wèn)題（例如，機(jī)制選擇或者設(shè)計(jì)），還有些組織兩者都有。許多組織

可能專門研究某種特定類型的技術(shù)，或者某個(gè)專業(yè)范疇（例如，航海）。

ＳＳＥＣＭＭ○Ｒ１）是針對(duì)所有這些組織而設(shè)計(jì)的。使用ＳＳＥＣＭＭ○Ｒ并不意味著一個(gè)組織就比另一個(gè)

組織更關(guān)注安全，也不意味著任何ＳＳＥＣＭＭ○Ｒ使用方法是必須的。組織的業(yè)務(wù)核心也不會(huì)因?yàn)槭褂?/p>

ＳＳＥＣＭＭ○Ｒ而發(fā)生偏離。

根據(jù)組織的業(yè)務(wù)核心，使用某些（而不是全部）已定義的安全工程慣例。除此之外，組織可能需要考

慮模型范圍內(nèi)不同慣例之間的關(guān)系，以確定它們的可用性。下面的例子說(shuō)明了各種不同的組織可以把

ＳＳＥＣＭＭ○Ｒ用于軟件、系統(tǒng)、設(shè)備開發(fā)和運(yùn)行。

安全服務(wù)提供者

為了測(cè)量一個(gè)組織執(zhí)行風(fēng)險(xiǎn)評(píng)估的過(guò)程能力，要使用幾組不同的慣例。在系統(tǒng)開發(fā)或集成期間，可

能需要評(píng)估該組織在確定和分析安全脆弱性以及評(píng)估運(yùn)行影響方面的能力。在運(yùn)行情況下，可能需要

評(píng)估該組織在監(jiān)視系統(tǒng)安全態(tài)勢(shì)、識(shí)別和分析安全脆弱性以及評(píng)估運(yùn)行影響方面的能力。

對(duì)策開發(fā)者

在一個(gè)組集中于對(duì)策開發(fā)的情況下，可能要通過(guò)ＳＳＥＣＭＭ○Ｒ的慣例組合來(lái)描述組織的過(guò)程能力特

性。該模型包含若干提出確定和分析安全脆弱性、評(píng)估運(yùn)行影響以及向涉及到的其他組（例如軟件組）

提供輸入和指南的慣例。提供制訂對(duì)策服務(wù)的組需要理解這些慣例之間的關(guān)系。

產(chǎn)品開發(fā)者

ＳＳＥＣＭＭ○Ｒ包含一些專門針對(duì)理解顧客安全需要的慣例。要求與顧客反復(fù)商討，以便確定這些需

要。如果某個(gè)產(chǎn)品的開發(fā)不受特定顧客的約束，該產(chǎn)品的顧客就是一般顧客。在這種情況下，如果要求

考慮顧客，可以把產(chǎn)品營(yíng)銷組或其他組作為假想的顧客。

安全工程專業(yè)人員都明白，產(chǎn)品背景和產(chǎn)品開發(fā)方法隨產(chǎn)品本身的變化而變化。不過(guò)，已經(jīng)知道有

一些與產(chǎn)品和項(xiàng)目背景有關(guān)的問(wèn)題對(duì)產(chǎn)品的構(gòu)思、生產(chǎn)、交付和維護(hù)方法有影響。下列問(wèn)題對(duì)

ＳＳＥＣＭＭ○Ｒ特別有意義：

●顧客基本類型（產(chǎn)品、系統(tǒng)或服務(wù)）；

●保障要求（高與低）；

●對(duì)開發(fā)和運(yùn)行組織的支持。

下面討論兩類不同顧客基礎(chǔ)之間的差別、安全保障要求程度差別和這些差別在ＳＳＥＣＭＭ○Ｒ中的影

響。所做的討論作為一個(gè)關(guān)于某個(gè)組織或某個(gè)行業(yè)部門可能如何確定在其環(huán)境中合適地使用

ＳＳＥＣＭＭ○Ｒ的例子。

特定的行業(yè)部門

各個(gè)行業(yè)反映了其獨(dú)特的文化、術(shù)語(yǔ)和交流風(fēng)格。通過(guò)盡可能降低角色相關(guān)性和組織結(jié)構(gòu)關(guān)聯(lián)性，

１）?ＣＭＭ和ＣａｐａｂｉｌｉｔｙＭａｔｕｒｉｔｙＭｏｄｅｌ均是美國(guó)卡內(nèi)基·梅隆大學(xué)（ＣＭＵ）的服務(wù)商標(biāo)，受相關(guān)法律和法規(guī)的

保護(hù)。

Ⅳ

犌犅／犜２０２６１—２００６

可預(yù)見ＳＳＥＣＭＭ○Ｒ的概念可以容易地由所有行業(yè)部門轉(zhuǎn)化成其自身的語(yǔ)言和文化。

如何使用ＳＳＥＣＭＭ○Ｒ

ＳＳＥＣＭＭ○Ｒ和應(yīng)用該模型的方法（例如，評(píng)估方法）的預(yù)期用途如下：

●工具———工程組織用于評(píng)價(jià)其安全工程實(shí)踐和定義改進(jìn)；

●方法———安全工程評(píng)價(jià)組織（例如認(rèn)證機(jī)構(gòu)和評(píng)價(jià)機(jī)構(gòu)）用于確定組織能力（作為系統(tǒng)或產(chǎn)品

安全保障的輸入）信任度；

●標(biāo)準(zhǔn)機(jī)制———顧客用于評(píng)價(jià)提供者的安全工程能力。

如果使用模型和評(píng)估方法的用戶透徹地理解模型的正確用法及其內(nèi)在的限制條件，則在應(yīng)用模型

進(jìn)行自我改進(jìn)和選擇供方的過(guò)程中可使用該評(píng)價(jià)技術(shù)。

關(guān)于使用過(guò)程評(píng)估的其他信息，可以在ＩＳＯ／ＩＥＣ１５５０４４《信息技術(shù)過(guò)程評(píng)估第４部分：用于

過(guò)程改進(jìn)和過(guò)程能力確定的使用指南》中找到。

使用ＳＳＥＣＭＭ○Ｒ的好處

安全的趨勢(shì)是從保護(hù)涉密的政府?dāng)?shù)據(jù)向包括金融交易、合同協(xié)議、個(gè)人信息以及互聯(lián)網(wǎng)在內(nèi)的更加

廣泛的利害攸關(guān)領(lǐng)域轉(zhuǎn)移。已經(jīng)出現(xiàn)相應(yīng)的維護(hù)和保護(hù)信息的產(chǎn)品、系統(tǒng)和服務(wù)的衍生物。這些安全

產(chǎn)品和系統(tǒng)一般以兩種方式之一進(jìn)入市場(chǎng)：長(zhǎng)期而昂貴的評(píng)價(jià)或者無(wú)需評(píng)價(jià)。在前一種情況下，可信的

產(chǎn)品往往要在確定它們的特性是必要的之后很長(zhǎng)時(shí)間并且那些已部署的安全系統(tǒng)不再應(yīng)付當(dāng)前威脅

時(shí)，才到達(dá)市場(chǎng)。在后一種情況下，獲取者和用戶必須只依賴產(chǎn)品或者系統(tǒng)開發(fā)者或運(yùn)營(yíng)商的安全聲

明。而且，以往的安全工程服務(wù)往往都帶著這種警告進(jìn)入市場(chǎng)。

這種情況要求組織以更成熟的方式實(shí)施安全工程。特別是在生產(chǎn)和準(zhǔn)備安全系統(tǒng)和可信產(chǎn)品時(shí)，

需要下列品質(zhì)：

●連續(xù)性———在以前的工作中獲取的知識(shí)應(yīng)用于今后的工作中；

●可重復(fù)性———確保項(xiàng)目可以成功重復(fù)的方法；

●有效性———有助于開發(fā)者和評(píng)價(jià)者更有效工作的方法；

●保障———指出安全要求的置信度。

為了準(zhǔn)備這些要求，需要某種機(jī)制用于指導(dǎo)組織去了解和改進(jìn)它們的安全工程實(shí)踐。正在開發(fā)的

ＳＳＥＣＭＭ○Ｒ，以改進(jìn)所要交付的安全系統(tǒng)、可信產(chǎn)品和安全工程服務(wù)的質(zhì)量和可用性以及降低其成本

為目標(biāo)，提高安全工程實(shí)踐水平，以適應(yīng)這些需求。特別是可預(yù)見到有下列好處：

對(duì)工程組織：

工程組織包括系統(tǒng)集成商、應(yīng)用開發(fā)商、產(chǎn)品廠商和服務(wù)提供商。對(duì)于這些組織來(lái)說(shuō)，ＳＳＥＣＭＭ○Ｒ

的好處包括：

●由于可重復(fù)、可預(yù)計(jì)的過(guò)程和慣例使返工減少而帶來(lái)的節(jié)約；

●真實(shí)執(zhí)行能力，特別是來(lái)源選擇方面的信譽(yù)；

●專注于度量到的組織能力（成熟度）和改進(jìn)。

對(duì)于獲取組織：

獲取者包括從外部／內(nèi)部來(lái)源獲得系統(tǒng)、產(chǎn)品和服務(wù)的組織和最終用戶。對(duì)于這些組織，

ＳＳＥＣＭＭ○Ｒ的好處包括：

●可重用的標(biāo)準(zhǔn)置標(biāo)語(yǔ)言和評(píng)價(jià)手段；

●減少選擇不合格投標(biāo)者的風(fēng)險(xiǎn)（性能，費(fèi)用，進(jìn)度）；

●由于以業(yè)界標(biāo)準(zhǔn)為基礎(chǔ)統(tǒng)一評(píng)估，引起的異議不多；

●產(chǎn)品或服務(wù)達(dá)到可預(yù)計(jì)、可重復(fù)的信任程度。

Ⅴ

犌犅／犜２０２６１—２００６

對(duì)于評(píng)價(jià)組織：

評(píng)價(jià)組織包括系統(tǒng)認(rèn)證機(jī)構(gòu)、系統(tǒng)認(rèn)可機(jī)構(gòu)、產(chǎn)品評(píng)價(jià)機(jī)構(gòu)和產(chǎn)品評(píng)估機(jī)構(gòu)。對(duì)于這些組織，

ＳＳＥＣＭＭ○Ｒ的好處包括：

●過(guò)程評(píng)估結(jié)果可重用，與系統(tǒng)或產(chǎn)品變更無(wú)關(guān)；

●安全工程以及與其他學(xué)科的集成可信；

●用證據(jù)證明能力，減少安全評(píng)價(jià)工作量。

Ⅵ

犌犅／犜２０２６１—２００６

信息技術(shù)系統(tǒng)安全工程

能力成熟度模型

１范圍

系統(tǒng)安全工程能力成熟度模型（以下簡(jiǎn)稱ＳＳＥＣＭＭ○Ｒ）是一個(gè)過(guò)程參考模型。它關(guān)注的是信息技

術(shù)安全（ＩＴＳ）領(lǐng)域內(nèi)某個(gè)系統(tǒng)或者若干相關(guān)系統(tǒng)實(shí)現(xiàn)安全的要求。在ＩＴＳ領(lǐng)域內(nèi)，ＳＳＥＣＭＭ○Ｒ關(guān)注的

是用來(lái)實(shí)現(xiàn)ＩＴＳ的過(guò)程，尤其是這些過(guò)程的成熟度。ＳＳＥＣＭＭ○Ｒ的目的不是規(guī)定組織使用的具體過(guò)

程，更不必說(shuō)具體的方法。而是希望準(zhǔn)備使用ＳＳＥＣＭＭ○Ｒ的組織利用其現(xiàn)有