【国家标准(GB)】 信息技术 系统安全工程 能力成熟度模型

ICS 35. 040
中华人民共和国国家标准
GB/T 20261—2006
信息技术
系统安全工程
能力成熟度模型
Information technologySystems security engineering-Capability maturity model
(IS0/IEC21827;2002,M0D)
2006-03-14发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2006-07-01实施
061106000266
2规范性引用文件
3术语和定义…
4.1、开发原因
安全工程的重要性
4.3意见一致
本标准的编排结构
模型体系结构
6.］安全工程
安全工程过程综述
SSE-CMM@体系结构描述
汇总表·
安全基本惯例·
管理安全控制
评估影响
PA03 : :
·评估安全风险
评估威胁
评估脆弱性
建立保障论据
协调安全
监视安全态势
提供安全输人
确定安全需要...
验证和确认安全
附录人（规范性附录）通用惯例.A.1
能力等级1
能力等级2-
能力等级3
A.5能力等级4-
A.6能力等级5
附录13(规范性附录)
B.1综述
非证式执行
策划和跟踪
妥善定义
定量控制
持续改进
项目和组织基本惯例
一般安全注意事项
确保质鼠
-HKAONrKAca-
GB/T 202612006
GB/T 20261—2006
管理配置
管理项目风险
监督和控制技术工作
策划技术工作
定义组织系统工程过程
改进组织系统工程过程
管理产品线演化
管理系统工程支持环境
提供持续发展的技能和知识
与供方协调
附录 C(资料性附录)
过程改进
预期结果
C.4常见误解
美键概念
能力成熟度模型概念
KANrKAca-
GB/T20261—2006
本标准修改采用ISO/1FC21827：2002“信息技术系统安全工程能力成熟度模型》（英文版），主要修改内容如下：
---在2规范性引用文件中增加GB/T 20000.1,GB/T 9387.2.GB/T 18336.1和GB/T11457;一在2规范性引用文件中将ISO/IEC15504,IS0/IFC15288的引用版本修改为最新版本；在3术语和定义中增加了*惯例”作为 3.24条，原国际标准中3.24条以底的术语编号依次下移；
排除原国际标推中存在的销误。例如图5中横纵坐标的含义标识顺序颠倒，本标准中不存在“分析候选解决方案\这个过程域。本标准是系统安全工程的一个过程参考模型，关注的是信息技术安全领域内某个或若干个相关系统实现安全的需求，其土要内容描述了用来实现信息技术安全的过程，尤其是过程的成熟度。标的附录 A和附录为规范性附录,附录为资料性附录。本标由中华人民共和国信息产业部提出。本标雄由全国信息技术标准化技术委员会归口。本标准起草单位：中国电子技术标化研究所，中国电子科技集团公司第三十研究所、北京思乐信息技术有限公司。
本标准主要起草人：平、是源俊、王新杰、魏忠GB/T 20261-2006
在计算机程序开发中一一无论是操作系统软件、安全管理和执行功能、软件、应用程序中间件各种各样的组织实施安全工程，因此，产品开发者、服务提供者.系统集成者、系统管理者，甚案是安全专家都要求有合适的方法和惯例。在这些组织中，有些组织涉及高层次问题（例如涉及运行使用或系统体系结构），另一些组织则关注低层次间愿（例如，机制选择或者设计），还有些组织两者都有。许多组织可能专门研究某种特定类型的技术，或者某个专业范峙（例如，航海）。SSE CMM\是针对所有这些组织而设计的。使用SSE-CMM?并不意味着个组织就比另一个纽织更关注安全，也不意味任何SSE-CMM@使用方法是必须的，组织的业务核心也不会因为使用SSF-CMM@而发生偏离。
根据组织的业务核心·使用某些（而不全部）已定义的安全工程惯例。除此之外，组织可能需要考虑模型范用内不同惯例之问的关系，以确定它们的可用性。下面的例子说明了弃种不阅的组织可以把SSECMM@用于软件、系统、设备开发和运行。安全服务提供者
为「测量一个组织执行风险评估的过程能力，要使几组不同的惯例。在系统开发或集成期间，可能需要评估该组织在确定和分析安全脆弱性以及评估运行影响方面的能力。在运行情况下，可能需要评估该组织在监视系统安全态势、识别和分析安全脆弱性以及评估运行影响方面的能力。对策开发者
在一个纽集中于对策开发的情况下，可能要通过SSE-CMM@的惯例组合来描述组织的过程能力特性，该模型包含若7提出确定和分析安全跪弱性、诈估运行影响以及向涉及到的其他组（例如软件组）提供输人和指前的惯例。提供制订对策服务的组需要埋解这些惯例之间的关系。产品开发者
SSECMM?包含·些专门针对理解顾客安全需要的惯例，要求与顾客反复商讨，以便确定这些需要。如果某个产品的开发不受特定顾客的约束，该产品的顾客就是般顾客。在这种情况下，如果要求考虑顾客，可以把产品营销组或其他组作为假想的顾客。安全工程专业人员都明白，产品背景和产品开发方法随产品本身的变化而变化，不过，已经知道有一些与产品和项目背景有关的问题对产品的构思、生产、交付和维护方法有影响。下列问题对SSECMM?特别有意义：
·顾客基本类型（产品、系统或服务）：●保障要求(高与低);
对开发和运行组织的支持。
下面讨论两类不同顾客基础之间的差别、安全保障要求程度差别和这些差别在SSE-CMM@中的影响。所做的讨论作为一个关于某个组织或某个行业部门可能如何确定在其环境中合适地使用SSE-CMM?的例子。
特定的行业部门
各个行业反映了其独特的文化、术语和交流风格。通过尽可能降低角色相关性秤组织结构关联性，1）CMM和CapabilityMaturityModel均是美国卡内基·梅隆大学（CML）的服务商标，受相关法律和法规内保护。
iKANrKca-
GB/T 20261—2006
可预见SSE-CMM?的概念可以察易地由所有行业部门转化成其自身的语言和文化。如何使用SSE-CMM?
SSE-CMM@和应用该模型的方法(例如，评估方法)的预期用途如下：·工具-一工程组织用丁评价其安全工程实践和定义；方法一-一安个工程评价组织（例如认证机构和评价机构)用于确定组织能力（作为系统或产品安全保障的输人)信任度：
·标准机制…一顾客用于评价提供者的安全工程能力如果使用模型和评估方法的用户透彻地解核型的正确用法及其内在的限制条件，则在应用模型进行自我改进和选择供方的过程中可使用该评价技术。关于使用过程评估的其他信息，可以在ISO/IFC15504-4“信息技术过程评估第 4部分：用于过程改进和过程能力确定的使用指南》中找到。使用SSE-CMM@的好处
安个的趋势是从保护涉密的政府数据向包括金融交易、合同协议、个人信息以及互联网在内的更加广泛的利害收关领域转移。已经出现相应的维护和保护信息的产品，系统和服务的衍生物，这些安全产品和系统一般以两种方式之·进入市场：长期而昂贵的评价或者无需评价。在前一种情说下，可信的产品往往要在确定它们的特性是必要的之后很长时间并且那些已部署的安全系统不再应付当前威胁时，才到达市场。在后一种情况下，获取者和用户必须只依赖产品或者系统开发者或运营商的安全声助。而且，以往的安全下程服务往往都带着这种警告进人市场。这种情况要求组织以更成熟的方式实施安全工程。特别是在生产和准备安个系统和可信产品时，需要下列品质：
·连续性一一在以前的工作中状取的知识应用于今后的工作中；●川重复性一—确保项目可以成功重复的方法：·有效性有助于开发者和评价者更有效工作的方法；鲁保障
指出安全要求的置信度，
为了准备这些要求，需要某种机制用于指导组织去了解和改进它们的安全工程实践。正在开发的SSF-CMM@，以改进所要交付的安全系统,可信产品和安全工程服务的质量和可用性以及降低其成木为目标，提高安个1程实践水平，以迈应这些需求。特别是可预见到有下列好处：对了程组织：此内容来自标准下载网
工程组织包括系统集成商、应用开发商产品厂商和服务提供商。对丁这些组织来说，SSE-CMM@的好处包括：
，由于可重复，可预计的过程和惯例使返工减少而带来的节药；，真实执行能力，特别是来源选择方面的信誉；，专注于度量到的组织能力成熟度！和收进。对于获取组织：
获取包括从外部/内部来源获得系统、产品和服务的组织和最终用户。对于这些组织，SSF-CMM?的好处包括：
·可重用的标准置标语言和评价手段；减少选择不合格投标者的风险（性能，费用，逊度）；，由于以业界标准为基础统一评估,引起的异议不多；，产品或服务达到可预计，可重复的信任程度GB/T20261--2006
对于评价组织：
评价组织包括系统认证机构、系统认可机构、产品评价机构和产品评估机构。刘对丁这些组织，SSECMM?的好处包括
，过程评估结果可重用，与系统或产品变更无关；*安全工程以及与其他学科的集成可信，用证据证明能力，减少安全评价工作量。1范围
信息技术，系统安全工程
能力成熟度模型
iKoNrKca-
GB/T20261—2006
系统安全工程能力成熟度模型（以下简称SSE-CMM?）是一个过程参考模型。它关注的是信息技术安全(ITS)领域内某个系统或者若千相关系统实现安全的要求。在TTS领域内，SSE-CMM关注的是用来实现ITS的过程，尤其是这些过程的成熟度。SSE-CMM的目的不是规定组织使用的具体过程，更不必说具体的方法。而是希望准备使用SSE-CMM③的组织利用其现有的过程一一那些以其他任何信息技术安全指导文件为基础的过程。本标准的范围包括：·涉及整个生存周期的安全产品或可信系统的系统安全工程活动：概念定义需求分析、设计，开发、集成、安装、运行、维护以及最终退役；对产品开发商安全系统开发和集成商，以及提供计算机安全服务和计算机安全工程组织的要求，
·适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。尽管SSE-CMM@复专门用于改进和评估安全工程能力的模型，但这并不意味着应该独立于其他工程学科开展安全工程活动。相反，SSE-CMM?认为安全已经渗透到所有的工程学科领域（例如系统、软件和硬件）并且通过定文模型部件来处理这类利害关系，从而促进这类学科间的整合。公共特征“协调安全惯例”承认有必要使安全与所有涉及某个项日的或者共同处于某个组织内的学科和组整合在起。与之类似，过程域“协调安全”定义了用于协调安全工程活动的月标和机制。由于均关注过程改进和能力成熟度评估，本标准与ISO/IEC15504（特别是第2部分）相关。不过，ISO/IEC15504关注的是软件过程，而SSE-CMM?则是安全。本标准与1SO/1EC16504新的修订版（特别是第2部分）的关系更密切，并且符合ISO/1EC15504-2中的方法和要求。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注口期的引用文件，其最新版本适用于本标准。GB/T8566信息技术软件生存周期过程（GB/T8566—2001,idtISO/1EC12207:1995）GB/T9387.2一1995信息处理系统开放系统五连基本参考模型第2部分：安全体系结构(idt ISO 7498 2:1989)
GB/T11457软件工程术语
GB/T18336.1信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型(GB/T18336.1—2001,idt.ISO/IEC15408-1:1999)GB/T20000.1标准化工作指南第1部分：标准化和相关活动的通用词汇（GB/T20000.12002ISO/IEC指南2：1996,MOD)
GB/T19715.1一2005信息技术，信息技术安全管理指南第1部分：信息技术安全概念和模型(ISO/1ECTR13335-1：1996.IDT)ISO/IEC15288系统工程系统生存周期过程1
GB/T20261—2006
ISO/1EC15443-1信息技术安全技术IT安全保障框架第1部分：概述和推架IS()/IEC155(04-）信息技术过程评估第1部分：概念和词汇ISO/IFC5504-2信息技术过程评估第2部分：执行评估ISO/1EC 15504-4
信息技术过程评估第4部分：用于过改进和过程能力确定的使用指南3术语和定义
下面的术语和定义适用于本标推。3. 1
可核查性acconntability
确保一个实体的活动能够唯一地追踪到该实休的特性[GB/T9387.2·1995]3.2
认可accreditatian
在本标准中：由某个指定的批准机构做出的正式声明：批准某系统采用一系列规定的防护措施按照某特定安全模运行。
注：这个定义是安全界普遍接受的定义，在国家标准中更通用的定义是：权威机构正式承认某个团体或者个人胜任执行特定任务的规程LGB/T20000.113.3
assessment
使用相应的评估方法对照标准验证产品、系统或者服务，以便证实符合性和确定安全保障【ISOIFC 15443-11
资产asset
对组织有价值的任何东两[GB/T19715.1—2005]。3.5
保障assurance
叫交付件满足其安全国标的置信度门GB/T18336.1。注：这个定义是安全界皆遍接受的定义，在国家标准中更通用的定义是：一种活动，其结果是指出某产品、过程或者服务足规定要求的置信度LGB/T200C0.1]3.6
保障论据assurance argument
由证据利推理支持的、清楚地证明各项保障需要是如何得到满足的组结构化保证声明。3.7
保障声明 assurance claim
系统满足安全需要的断言或支持性断言。这些声明涉及直接威胁（例如，防止系统数据遭受外部改击)和间接威胁(例如，使系统代码漏洞尽可能小)。3.8
保障证据assurance evidence
可以据以做出保证声明判断或者结论的数据，这类证据可能由观察项、测试结果、分析结果和评估结果构成，
真实性anthenticity
确保主体或者资源的身份与声明的身份相衍的属性。真实性适用于诸如用户，过程、系统和信息之类实体[GB/T19715.12005]。
可用性availability
由得到授权的实体按要求进行访问和使用的特性LGB/T9387.2—1995]。基线hascline
KANrKAca-
GB/T 20261--2006
经过正式评审并且一致同意的、此后将作为未来开发基础的、并工只有通过正式更改控制规程才能够变更的某个规范或者产品[GB/T11457]。3.12
认证 certification
在本标准中：为了确定设计和实现满足一组规定的安全要求的程度，而对系统的安全特征和其他防护措施进行全面评价以产生书面结果的过程。注：这个定义是安仑界普遍接受的定义，在国家标准中史通用的定义是：第方在对产品、过程或者服务符合规定的要求给出书面保障时遵循的规程GB/T20000.11。3.13
保密性 confidentiality
对于末得到授权的个人、实体或者过程，信息不可用或者不暴露的属性[GB/T9387.21995]。3.14
一致性 cunsistency
某个系统或构件的各个组战部分或者文档之间的统·、标化和不矛盾的程度[GI3/了11457]。3.15
correctncss
正确性
针对规定的安全要求，产品或者系统的表现显示出要求的实现是正确的。3.16
顾客custumer
供方提供的产品的接收者，
注1：在合同条件下,顾客叫做买方。注2：顾客可以是最终顾客、用户、受益人或者买方。3.17
有效性 effectiveness
系统或者产品的属性，反映系统或产品在其推荐的或者实际的运行使用背景下提供安全的程度3.18
工程组engineeringgroup
对有关某特定工程学科(例如硬件、软件、软件配置管理、软件质量保证、系统、系统测试和系统安全）的项月或组织活动负责的人群（包括管理人员和技术人贸），3.19
证据evidence
过程和/或产品的可直接测量的特征，它体现某具体活动满足规定要求的客的、明显的物证，3.20
完整性integrity
维护循息和处理打法的雅确性和完爸性的特性，3.21
维护maintenance
在系统或构件交付后，为了纠正缺陷、改进性能或其他属性，或者为了适应变史的环境.而修改该系统或构件的过程GB/T11457_
GB/T20261—2006
方法学methodology
定义系统或产品的完整开发途径的标准、规程和支持方法的集合。3.23
渗透轮廓penetrationprofile
为实现渗透所要求的活动的定义。3.24
惯例practices
常用的方法、习惯做法或者常规。注：在本标准中：术语“惯例”用于描述模型中的一种部件3.25
procedure
为执行指定任务而要采取的
过程process
把输入转化为输出的一
可靠性reliability
系列行动的书面描述【GB/T114577。组相关活动IS/IEC15288
与预期行为和结果相致的特性[GB/T19715.1—2005]。E
金residualSk
残留风险
在已实现防护措施之后仍然存在的风险LGB/T19715.1—2005]。3.29
风险risk
某种威胁会利用一种资
20051。
风险分析risk analysis
若下资产的脆弱性使这些资产损失或破坏的可能性[GB/T19715.1识别安全风险、判断其程度并且确定需要采取防护措施的领域的过程[GB/T19715.1—2005]。3.31
风险管理
riskmanagement
评估和量化风险，并且确立组织可接受的风险水平的过程GB/T19715.1—2005]。3.32
安全策略securitypolicy
在本标准中：关于如何在组织及其系统内管理、保护和分发资产（包括敏感信息）的规则，指令和惯例,特别是影响到系统和相关要素的规则、指令和惯例。3.33
安全相关要求securityrelatedrequirement直接影响系统安全运行或者强制执行规定安全策略的要求。3.34
系统svstem
具有实物形式和规定目的的、可辨别的离散实体；通过集成相互作用的部件构成，单独的每一个部4
件达不到所要求的总体目的LISO/IEC15288]。nKANKAca-
GB/T20261—2006
注1：实际上，系统是“在旁观者的眼中\的系统并且通常用联合名词来澄清其含义（例如，产品系统，飞机系统）。另一种方式是使用上下文相关的同义词（例如，产品、飞机）简单取代“系统”一调，不过，这种替代可能使系统原理观点变得模糊。
注2：系统在其生存周期中，为了满足自身的需求，可能需要其他系统。例如，一个运作系统可能需要一个系统用于概念化、开发、生产、运行、支持或者处置。3.35
威胁threat
对手的能力、意图和攻击方式，或者具有对信息、程序或系统造成损害或造成它们相互损害的潜力的任何外部或内部的环境或事件3.36
威胁者threatagent
故意的或意外的人为威胁的始作佣者和（或）启动者3.37
确认validation
通过检查和提供客观证据证实针对某预定应用的具体要求得到满足。3.38
验证verificaGon
通过检查和提供观证据证实满足规定要求。3.39
脆弱性vulnerability
能够被某种威胁利用的某个或某组资产的弱点［GB/T19715.13.40
工作产品work product
执行某个过程产生的人工制品［ISO/IECFCD15501-1]。注：一个工作产品可能被一个过程使用、生产或者改变。4背景
SSE-CMM?描述
2005]。
个组织中为确保优质安全工程而必须具备的安全工程过程的基本特性。该模型没有规定具体的过程或顺序，而是汇集了在行业中普遍遵循的惯例。对于覆盖下列领域的安全工程惯例，这个模型是一个标准衡量尺度：·整个生存周期，包括开发、运行、维护和退役等活动；整个组织，包括管理类、组织类和工程类活动：与其他学科（例如，系统、软件、硬件、人机工程和测试工程，以及系统管理、运行和维护）的并发交互作用：
。与其他组织的交互作用，包括获取、系统管理、认证、认可和评价。SSE-CMM?的模型描述包括：该模型所依据的原理和体系结构的综述，模型的执行概要，正确使用该模型的建议，模型中包括的惯例，以及模型属性描述。它还包括模型的开发要求。SSE-CMM?的评估方法描述用于对照该模型评价一个组织的安全工程能力的过程和工其。4.1开发原因
顾客和供方都对改进安全产品、系统和服务的开发感兴趣。安全工程领域有一些普遍接受的原则，但是日前缺乏关于评价安全工程惯例的综合性框架。SSE-CMM通过确定这样一个框架，提供了一个5
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。