犐犆犛３５．０４０

犔８０

中華人民共和國國家標準

犌犅／犜２０２６１—２００６

信息技術系統安全工程

能力成熟度模型

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛狔狊狋犲犿狊狊犲犮狌狉犻狋狔犲狀犵犻狀犲犲狉犻狀犵—

犆犪狆犪犫犻犾犻狋狔犿犪狋狌狉犻狋狔犿狅犱犲犾

（ＩＳＯ／ＩＥＣ２１８２７：２００２，ＭＯＤ）

２００６０３１４發布２００６０７０１實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

書

犌犅／犜２０２６１—２００６

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

１范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

２規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１

３術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２

４背景!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．１開發原因!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!５

４．２安全工程的重要性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

４．３意見一致!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

５本標準的編排結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６

６模型體系結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．１安全工程!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７

６．２安全工程過程綜述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８

６．３ＳＳＥＣＭＭ○Ｒ體系結構描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!１１

６．４匯總表!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７安全基本慣例!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!１９

７．１ＰＡ０１———管理安全控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２０

７．２ＰＡ０２———評估影響!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２２

７．３ＰＡ０３———評估安全風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２５

７．４ＰＡ０４———評估威脅!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!２８

７．５ＰＡ０５———評估脆弱性!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３０

７．６ＰＡ０６———建立保障論據!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３２

７．７ＰＡ０７———協調安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３４

７．８ＰＡ０８———監視安全態勢!!!!!!!!!!!!!!!!!!!!!!!!!!!!!３６

７．９ＰＡ０９———提供安全輸入!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４０

７．１０ＰＡ１０———確定安全需要!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４３

７．１１ＰＡ１１———驗證和確認安全!!!!!!!!!!!!!!!!!!!!!!!!!!!!４６

附錄Ａ（規范性附錄）通用慣例!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

Ａ．１總則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

Ａ．２能力等級１———非正式執行!!!!!!!!!!!!!!!!!!!!!!!!!!!４８

Ａ．３能力等級２———策劃和跟蹤!!!!!!!!!!!!!!!!!!!!!!!!!!!４９

Ａ．４能力等級３———妥善定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!５２

Ａ．５能力等級４———定量控制!!!!!!!!!!!!!!!!!!!!!!!!!!!!５６

Ａ．６能力等級５———持續改進!!!!!!!!!!!!!!!!!!!!!!!!!!!!５７

附錄Ｂ（規范性附錄）項目和組織基本慣例!!!!!!!!!!!!!!!!!!!!!!!６０

Ｂ．１綜述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６０

Ｂ．２一般安全注意事項!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６０

Ｂ．３ＰＡ１２———確保質量!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６０

Ⅰ

書

犌犅／犜２０２６１—２００６

Ｂ．４ＰＡ１３———管理配置!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６４

Ｂ．５ＰＡ１４———管理項目風險!!!!!!!!!!!!!!!!!!!!!!!!!!!!!６６

Ｂ．６ＰＡ１５———監督和控制技術工作!!!!!!!!!!!!!!!!!!!!!!!!!!６９

Ｂ．７ＰＡ１６———策劃技術工作!!!!!!!!!!!!!!!!!!!!!!!!!!!!!７１

Ｂ．８ＰＡ１７———定義組織系統工程過程!!!!!!!!!!!!!!!!!!!!!!!!!７６

Ｂ．９ＰＡ１８———改進組織系統工程過程!!!!!!!!!!!!!!!!!!!!!!!!!７８

Ｂ．１０ＰＡ１９———管理產品線演化!!!!!!!!!!!!!!!!!!!!!!!!!!!!８０

Ｂ．１１ＰＡ２０———管理系統工程支持環境!!!!!!!!!!!!!!!!!!!!!!!!!８１

Ｂ．１２ＰＡ２１———提供持續發展的技能和知識!!!!!!!!!!!!!!!!!!!!!!!８４

Ｂ．１３ＰＡ２２———與供方協調!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!８８

附錄Ｃ（資料性附錄）能力成熟度模型概念!!!!!!!!!!!!!!!!!!!!!!!９１

Ｃ．１概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９１

Ｃ．２過程改進!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９１

Ｃ．３預期結果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９２

Ｃ．４常見誤解!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９２

Ｃ．５關鍵概念!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!９３

Ⅱ

犌犅／犜２０２６１—２００６

前言

本標準修改采用ＩＳＯ／ＩＥＣ２１８２７：２００２《信息技術系統安全工程能力成熟度模型》（英文版），主

要修改內容如下：

———在２規范性引用文件中增加ＧＢ／Ｔ２００００．１、ＧＢ／Ｔ９３８７．２、ＧＢ／Ｔ１８３３６．１和ＧＢ／Ｔ１１４５７；

———在２規范性引用文件中將ＩＳＯ／ＩＥＣ１５５０４、ＩＳＯ／ＩＥＣ１５２８８的引用版本修改為最新版本；

———在３術語和定義中增加了“慣例”作為３．２４條，原國際標準中３．２４條以后的術語編號依次

下移；

———排除原國際標準中存在的錯誤。例如圖５中橫縱坐標的含義標識順序顛倒，本標準中不存在

“分析候選解決方案”這個過程域。

本標準是系統安全工程的一個過程參考模型，關注的是信息技術安全領域內某個或若干個相關系

統實現安全的需求，其主要內容描述了用來實現信息技術安全的過程，尤其是過程的成熟度。

本標準的附錄Ａ和附錄Ｂ為規范性附錄，附錄Ｃ為資料性附錄。

本標準由中華人民共和國信息產業部提出。

本標準由全國信息技術標準化技術委員會歸口。

本標準起草單位：中國電子技術標準化研究所、中國電子科技集團公司第三十研究所、北京思樂信

息技術有限公司。

本標準主要起草人：周平、吳源俊、王新杰、魏忠。

Ⅲ

犌犅／犜２０２６１—２００６

引言

在計算機程序開發中———無論是操作系統軟件、安全管理和執行功能、軟件、應用程序中間件———

各種各樣的組織實施安全工程。因此，產品開發者、服務提供者、系統集成者、系統管理者，甚至是安全

專家都要求有合適的方法和慣例。在這些組織中，有些組織涉及高層次問題（例如涉及運行使用或系統

體系結構），另一些組織則關注低層次問題（例如，機制選擇或者設計），還有些組織兩者都有。許多組織

可能專門研究某種特定類型的技術，或者某個專業范疇（例如，航海）。

ＳＳＥＣＭＭ○Ｒ１）是針對所有這些組織而設計的。使用ＳＳＥＣＭＭ○Ｒ并不意味著一個組織就比另一個

組織更關注安全，也不意味著任何ＳＳＥＣＭＭ○Ｒ使用方法是必須的。組織的業務核心也不會因為使用

ＳＳＥＣＭＭ○Ｒ而發生偏離。

根據組織的業務核心，使用某些（而不是全部）已定義的安全工程慣例。除此之外，組織可能需要考

慮模型范圍內不同慣例之間的關系，以確定它們的可用性。下面的例子說明了各種不同的組織可以把

ＳＳＥＣＭＭ○Ｒ用于軟件、系統、設備開發和運行。

安全服務提供者

為了測量一個組織執行風險評估的過程能力，要使用幾組不同的慣例。在系統開發或集成期間，可

能需要評估該組織在確定和分析安全脆弱性以及評估運行影響方面的能力。在運行情況下，可能需要

評估該組織在監視系統安全態勢、識別和分析安全脆弱性以及評估運行影響方面的能力。

對策開發者

在一個組集中于對策開發的情況下，可能要通過ＳＳＥＣＭＭ○Ｒ的慣例組合來描述組織的過程能力特

性。該模型包含若干提出確定和分析安全脆弱性、評估運行影響以及向涉及到的其他組（例如軟件組）

提供輸入和指南的慣例。提供制訂對策服務的組需要理解這些慣例之間的關系。

產品開發者

ＳＳＥＣＭＭ○Ｒ包含一些專門針對理解顧客安全需要的慣例。要求與顧客反復商討，以便確定這些需

要。如果某個產品的開發不受特定顧客的約束，該產品的顧客就是一般顧客。在這種情況下，如果要求

考慮顧客，可以把產品營銷組或其他組作為假想的顧客。

安全工程專業人員都明白，產品背景和產品開發方法隨產品本身的變化而變化。不過，已經知道有

一些與產品和項目背景有關的問題對產品的構思、生產、交付和維護方法有影響。下列問題對

ＳＳＥＣＭＭ○Ｒ特別有意義：

●顧客基本類型（產品、系統或服務）；

●保障要求（高與低）；

●對開發和運行組織的支持。

下面討論兩類不同顧客基礎之間的差別、安全保障要求程度差別和這些差別在ＳＳＥＣＭＭ○Ｒ中的影

響。所做的討論作為一個關于某個組織或某個行業部門可能如何確定在其環境中合適地使用

ＳＳＥＣＭＭ○Ｒ的例子。

特定的行業部門

各個行業反映了其獨特的文化、術語和交流風格。通過盡可能降低角色相關性和組織結構關聯性，

１）?ＣＭＭ和ＣａｐａｂｉｌｉｔｙＭａｔｕｒｉｔｙＭｏｄｅｌ均是美國卡內基·梅隆大學（ＣＭＵ）的服務商標，受相關法律和法規的

保護。

Ⅳ

犌犅／犜２０２６１—２００６

可預見ＳＳＥＣＭＭ○Ｒ的概念可以容易地由所有行業部門轉化成其自身的語言和文化。

如何使用ＳＳＥＣＭＭ○Ｒ

ＳＳＥＣＭＭ○Ｒ和應用該模型的方法（例如，評估方法）的預期用途如下：

●工具———工程組織用于評價其安全工程實踐和定義改進；

●方法———安全工程評價組織（例如認證機構和評價機構）用于確定組織能力（作為系統或產品

安全保障的輸入）信任度；

●標準機制———顧客用于評價提供者的安全工程能力。

如果使用模型和評估方法的用戶透徹地理解模型的正確用法及其內在的限制條件，則在應用模型

進行自我改進和選擇供方的過程中可使用該評價技術。

關于使用過程評估的其他信息，可以在ＩＳＯ／ＩＥＣ１５５０４４《信息技術過程評估第４部分：用于

過程改進和過程能力確定的使用指南》中找到。

使用ＳＳＥＣＭＭ○Ｒ的好處

安全的趨勢是從保護涉密的政府數據向包括金融交易、合同協議、個人信息以及互聯網在內的更加

廣泛的利害攸關領域轉移。已經出現相應的維護和保護信息的產品、系統和服務的衍生物。這些安全

產品和系統一般以兩種方式之一進入市場：長期而昂貴的評價或者無需評價。在前一種情況下，可信的

產品往往要在確定它們的特性是必要的之后很長時間并且那些已部署的安全系統不再應付當前威脅

時，才到達市場。在后一種情況下，獲取者和用戶必須只依賴產品或者系統開發者或運營商的安全聲

明。而且，以往的安全工程服務往往都帶著這種警告進入市場。

這種情況要求組織以更成熟的方式實施安全工程。特別是在生產和準備安全系統和可信產品時，

需要下列品質：

●連續性———在以前的工作中獲取的知識應用于今后的工作中；

●可重復性———確保項目可以成功重復的方法；

●有效性———有助于開發者和評價者更有效工作的方法；

●保障———指出安全要求的置信度。

為了準備這些要求，需要某種機制用于指導組織去了解和改進它們的安全工程實踐。正在開發的

ＳＳＥＣＭＭ○Ｒ，以改進所要交付的安全系統、可信產品和安全工程服務的質量和可用性以及降低其成本

為目標，提高安全工程實踐水平，以適應這些需求。特別是可預見到有下列好處：

對工程組織：

工程組織包括系統集成商、應用開發商、產品廠商和服務提供商。對于這些組織來說，ＳＳＥＣＭＭ○Ｒ

的好處包括：

●由于可重復、可預計的過程和慣例使返工減少而帶來的節約；

●真實執行能力，特別是來源選擇方面的信譽；

●專注于度量到的組織能力（成熟度）和改進。

對于獲取組織：

獲取者包括從外部／內部來源獲得系統、產品和服務的組織和最終用戶。對于這些組織，

ＳＳＥＣＭＭ○Ｒ的好處包括：

●可重用的標準置標語言和評價手段；

●減少選擇不合格投標者的風險（性能，費用，進度）；

●由于以業界標準為基礎統一評估，引起的異議不多；

●產品或服務達到可預計、可重復的信任程度。

Ⅴ

犌犅／犜２０２６１—２００６

對于評價組織：

評價組織包括系統認證機構、系統認可機構、產品評價機構和產品評估機構。對于這些組織，

ＳＳＥＣＭＭ○Ｒ的好處包括：

●過程評估結果可重用，與系統或產品變更無關；

●安全工程以及與其他學科的集成可信；

●用證據證明能力，減少安全評價工作量。

Ⅵ

犌犅／犜２０２６１—２００６

信息技術系統安全工程

能力成熟度模型

１范圍

系統安全工程能力成熟度模型（以下簡稱ＳＳＥＣＭＭ○Ｒ）是一個過程參考模型。它關注的是信息技

術安全（ＩＴＳ）領域內某個系統或者若干相關系統實現安全的要求。在ＩＴＳ領域內，ＳＳＥＣＭＭ○Ｒ關注的

是用來實現ＩＴＳ的過程，尤其是這些過程的成熟度。ＳＳＥＣＭＭ○Ｒ的目的不是規定組織使用的具體過

程，更不必說具體的方法。而是希望準備使用ＳＳＥＣＭＭ○Ｒ的組織利用其現有