信息安全技术 系统安全工程 能力成熟度模型 (GB/T 20261-2020) 国家标准《信息安全技术 系统安全工程 能力成熟度模型》由TC260(全国网络安全标准化技术委员会)归口上报及执行,主管部门为国家标准化管理委员会。
起草单位:北京永信至诚科技股份有限公司、中国信息安全测评中心、中新网络信息安全股份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信科技有限公司、北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息安全技术有限公司。
起草人:孙明亮 、朱胜涛 、王军 、温哲 、李斌 、位华 、王琰 、张晓菲 、蔡晶晶 、陈冠直 、王龑 、郭颖 、郑新华 、杨建军 、刘贤刚 、上官晓丽 、许玉娜 、任卫红 、袁静 、高亚楠 、余慧英 、李小勇 、吕俐丹 、侯晓雄 、米凯 、吴璇 、乔鹏 、刘蕾杰 、梁峰 。
此标准给出了系统安全工程能力成熟度模型(以下简称SSE-CMM)是一个过程参考模型,它关注信息技术安全(ITS)领域内的某个系统或者若干相关系统实现安全的要求。在ITS领域内,SSE-CMM关注的是用来实现ITS的过程,尤其是这些过程的成熟度。SSE-CMM的目的不是规定组织使用的具体过程,更不会涉及具体的方法,而是希望准备使用SSE-CMM的组织利用其现有的过程——那些以其他任何信息技术安全指导文件为基础的过程。
此标准界定了SSE-CMM是专门用于改进和评估安全工程能力的模型.不能独立于其他工程学科开展安全工程活动。相反,SSE-CMM认为安全已经渗透到所有的工程学科领域(例如系统、软件和硬件)并且通过定义模型部件来处理这类利害关系,从而促进这类学科间的整合。公共特征“协调安全实践”承认有必要使安全与所有涉及某个项目的或者共同处于某个组织内的学科和组整合在一起。与之类似,过程域“协调安全”定义了用于协调安全工程活动的目标和机制。
此标准适用于:
涉及整个生存周期的安全产品或可信系统的系统安全工程活动:概念定义、需求分析、设计、开发、集成、安装、运行、维护以及最终退役;
对产品开发人员、安全系统开发人员和集成商。以及提供计算机安全服务和计算机安全工程组织的要求;
政府部门、商业界、学术界的各种类型和规模的安全工程组织;
系统安全工程的需求方、提供方和评估方。