GB/T 20621-2006化学法复合二氧化氯发生器.pdf

中华人民共和国国家标准

GB/T20261-2020 代替GB/T20261-2006

信息安全技术 系统安全工程 能力成熟度模型

Information security technology-System security engineering-Capability maturity model

(ISO/IEC21827:2008 Information technology-Security techniquesSystems security engineeringCapability maturity model.MOD)

国家标准化管理委员会 国家市场监督管理总局 发布

目次

前言引言0.1概要.0.2如何使用SSE-CMM？0.3使用SSE-CMM的好处2规范性引用文件 3术语和定义4系统安全工程概述4.1安全工程的开发背景4.2安全工程的重要性4.3安全工程组织4.4安全工程生存周期4.5安全工程和其他学科 4.6安全工程专业5模型体系结构5.1安全工程过程概述5.2SSE-CMM体系结构描述 115.3汇总表 6[6安全基本实践 196.1安全基本实践概述 6.2PA01-管理安全控制 19 206.3PA02 评估影响6.4PA03 评估安全风险 266.5PA04 评估威胁6.6PA05 评估脆弱性 336.7 PA06 6.8 PA07- 建立保障论据 协调安全 36 396.9 PA08- 监视安全态势 416.10 PA09 提供安全输人6.11PA10确定安全需要6.12PA11 验证和确认安全附录A（资料性附录） 本标准与ISO/IEC21827：2008相比的结构变化情况 56附录B（资料性附录）本标准与ISO/1EC21827：2008的技术性差异及其原因 附录C（规范性附录）通用实践 6961

C.1总则.C.2能力等级1一基本执行C.3能力等级2一 计划跟踪 62C.4能力等级3充分定义 67C.5能力等级4- C.6能力等级5 量化控制. 持续改进 71 73附录D（规范性附录）项目与组织基本实践 76D.1综述..D.2 一般安全注意事项 76D.3PA12 确保质量 76D.5 PA14 D.4 PA13- 管理配置 管理项目风险 18D.6 PA15- 监督和控制技术工作D.7 PA16- 策划技术工作D.8 PA17 D.9 PA18 定义组织系统工程过程 96D.10 PA19- 改进组织系统工程过程 管理产品线演化 66D.11 PA20 管理系统工程支持环境D.12 PA21- 提供持续发展的技能和知识 107D.13 PA22- 与供方协调 112附录E（资料性附录）能力成熟度模型概念 E.1概述 116E.2过程改进 116 116E.3预期结果 117E.4常见误解E.5关键概念 118附录F（资料性附录） 附录G（资料性附录） 信息安全服务与安全工程过程域对应表 GB/T20261-2020与GB/T20261-2006主要变化对比表* 123 122参考文献. 127

前言

本标准按照GB/T1.1-2009给出的规则起草.

本标准代替GB/T20261一2006《信息技术系统安全工程能力成熟度模型》，与GB/T20261一2006相比，主要技术变化如下（主要变化对比表见附录G）：

修改了部分规范性引用文件（见第2章，2006年版的第2章）；理”：（见第3章，2006年版的第3章）；删除了术语“惯例”（见2006年版的3.24）；一修改了部分章条标题，合并、调整和副除了部分内容关联和不适合作为国家标准的内容（见一删除了原第5章，原第6章、第7章调整为第5章、第6章（2006年版的第5章，第6章、第7 4.1 4.2 4.3 4.4 4.5 4.6 5.1);章）；增加了第6章中BP.06.03定义安全测量，以及ISO/1EC21827：2008相对于ISO/IEC21827：2002增加及修订的内容（见第6章）：修改了附录C中对能力等级的5个级别的定义，与现行标准GB/T30271等标准描述一致； 增加广附录A和附录B见附录A附录B);修改了附录D中的系列过程域编号与过程域描述不匹配的错误信息（见D.6.1.1、D.7.7.3、一增加了附录中为便于标准模型与现行安全服务映射关系的附录F（见附录F）： D.9 3.3 D.11.1.1、D.11.4 D.11.4.1、D.12.3.1) ;

-增加了与GB/T20261-2006的主要变化对比表（见附录G）.

本标准使用重新起草法修改采用1SO/1EC21827：2008《信息技术安全技术系统安全工程能力成熟度模型》.

本标准与ISO/IEC21827：2008相比在结构上有一定调整，附录A中列出了本标准与ISO/IEC21827：2008的章条标号对照一览表.

本标准与1SO/1EC21827：2008相比存在技术性差异，附录B中给出了相应的技术差异及原因的一览表.

本标准做了下列编辑性修改：

-将标准名称修改为《信息安全技术系统安全工程能力成熟度模型》.

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任.

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口.

份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信科技有限公 本标准起草单位：北京永信至诚科技股份有限公司、中国信息安全测评中心、中新网络信息安全股司、北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息安全技术有限公司

郭颖、郑新华、杨建军、刘贤刚、上官晓丽、许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、 本标准主要起草人：孙明亮、朱胜涛、王军、温哲、李斌、位华、王琰、张晓非、蔡晶品、陈冠直、王美、米凯、吴曦、乔鹏、刘蕾杰、梁峰.

本标准所代替标准的历次版本发布情况为：

GB/T 20261-2006