ICS 35.040 L80 中华人民共和国国家标准 GB/T 20261—XXXX 代替 GB/T 20261—2006 信息安全技术 系统安全工程 能力成熟度 模型 Information security technology — System security engineering — capability maturity model （ISO/IEC 21827:2008,MOD） 在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上。 （报批稿） 2019-10-10 XXXX - XX - XX 发布 XXXX - XX - XX 实施 GB/T XXXXX—XXXX 目  次 前  言............................................................................................................................................................. II 引  言............................................................................................................................................................. IV 1 范围................................................................................................................................................................... 1 2 规范性引用文件............................................................................................................................................... 1 3 术语和定义....................................................................................................................................................... 2 4 系统安全工程概述........................................................................................................................................... 7 5 模型体系结构................................................................................................................................................... 9 6 安全基本实践................................................................................................................................................. 19 6.1 PA01——管理安全控制......................................................................................................................... 20 6.2 PA02——评估影响................................................................................................................................. 23 6.3 PA03——评估安全风险......................................................................................................................... 27 6.4 PA04——评估威胁................................................................................................................................. 30 6.5 PA05——评估脆弱性............................................................................................................................. 33 6.6 PA06——建立保障论据......................................................................................................................... 36 6.7 PA07——协调安全................................................................................................................................. 39 6.8 PA08——监视安全态势......................................................................................................................... 42 6.9 PA09——提供安全输入......................................................................................................................... 46 6.10 PA10——确定安全需要....................................................................................................................... 50 6.11 PA11——验证和确认安全...................................................................................................................54 附 录 A （规范性附录） 通用实践...........................................................................................................57 附 录 B （规范性附录） 项目与组织基本实践...................................................................................... 73 附 录 C （资料性附录） 能力成熟度模型概念.................................................................................... 113 附 录 D （资料性附录） 信息安全服务与安全工程过程域对应表.................................................... 118 附 录 E （资料性附录） GB/T 20261—XXXX 与 GB/T 20261—2006 对比主要变化表..................... 120 I GB/T 20261—XXXX 前  言 本标准按照GB/T 1.1—2009和GB/T 20000.2—2009给出的规则起草。 本标准使用重新起草法修改采用ISO/IEC 21827:2008《信息技术 安全技术 系统安全工程能力成 熟度模型®（SSE-CMM®)）》，修订GB/T 20261—2006《信息技术 系统安全工程能力成熟度模型》。 本标准与ISO/IEC 21827:2008的技术性差异及其原因如下： ——本标准修改采用ISO/IEC 21827:2008《信息技术 安全技术 系统安全工程能力成熟度模型》， 参照GB/T 20261-2006标准主线；针对ISO/IEC 21827:2008相对于ISO/IEC 21827:2002增加及修订的内 容，ISO/IEC 21827:2008当中引用的已经失效的标准部分以及相关错误内容，在此标准中进行了更新。 •在术语与定义中增加基本实践、能力、信息安全事态、信息安全事件、实践、过程域； •在规范性引用文件中用ISO/IEC 33001、ISO/IEC 33020替代ISO/IEC 15504； •删除了原第5章（本标准的编排结构） •将原6.1节（安全工程）的内容挪到第4章 •将原4.1和4.2节合并 •将原4.3节与原6.1.1节合并 •删除原6.1.4和6.1.5中2一些国内不存在的学科名称 •原第6章改为第5章 •原第7章改为第6章 •标准正文中5.3.5能力维/测量结构映射，内容涉及本标准与ISO/IEC 15504-2的映射关系，由 于ISO/IEC 15504-2已经撤销，本标准修订为与ISO/IEC 33020的映射内容； •标准正文中5.3.6 与ISO/IEC 15288《系统和软件工程 系统生存周期过程》的关系，内容涉 及本标准与ISO/IEC 15288的映射关系，由于ISO/I