标准详情
GB/T 20261-2020《信息安全技术 系统安全工程 能力成熟度模型》基本信息
标准号:GB/T 20261-2020
中文名称:《信息安全技术 系统安全工程 能力成熟度模型》
发布日期:2020-11-19
实施日期:2021-06-01
发布部门:国家市场监督管理总局 国家标准化管理委员会
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
起草单位:北京永信至诚科技股份有限公司、中国信息安全测评中心、中新网络信息安全股份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信科技有限公司、北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学等
起草人:孙明亮、朱胜涛、王军、温哲、李斌、位华、王琰、张晓菲、蔡晶晶、陈冠直、王龑、郭颖、郑新华、杨建军、刘贤刚、上官晓丽、许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、米凯、吴璇、乔鹏、刘蕾杰、梁峰
中国标准分类号:L80数据加密
国际标准分类号:35.040字符集和信息编码
GB/T 20261-2020《信息安全技术 系统安全工程 能力成熟度模型》介绍
国家市场监督管理总局和国家标准化管理委员会联合发布了GB/T 20261-2020《信息安全技术 系统安全工程 能力成熟度模型》(以下简称“本标准”),并于2021年6月1日正式实施。
一、标准概述
本标准旨在为信息系统安全工程提供一套能力成熟度模型,以评估和提升组织在系统安全工程方面的能力。该模型基于国际通用的成熟度模型框架,结合我国实际情况,为组织提供了一个系统化、结构化的方法论,以指导其在信息系统安全工程方面的发展和改进。
二、标准内容
1、能力成熟度模型框架
本标准规定了信息系统安全工程能力成熟度模型的五个等级,从初始级到优化级,每个等级都有明确的能力和实践要求。这五个等级分别是:
初始级:组织对系统安全工程的认识和实践处于起步阶段。
已管理级:组织对系统安全工程有一定的管理和控制能力。
已定义级:组织对系统安全工程有明确的政策和程序。
量化管理级:组织能够量化系统安全工程的绩效,并对其进行持续改进。
优化级:组织能够持续优化系统安全工程,以实现最佳实践。
2、能力域和实践
本标准详细描述了各个成熟度等级下的能力域和实践。能力域是指组织在系统安全工程方面需要具备的关键能力,而实践则是实现这些能力的具体活动。这些能力域和实践覆盖了从安全政策制定到安全风险管理、安全测试和评估等多个方面。
3、评估和改进
本标准还提供了评估组织系统安全工程能力成熟度的方法和工具,以及如何根据评估结果进行改进的指导。这有助于组织识别自身的优势和不足,并制定相应的改进计划。
三、实施意义
实施本标准对于提升信息系统的安全性能、降低安全风险具有重要意义。它不仅能够帮助组织建立和完善系统安全工程管理体系,还能够促进组织在信息安全领域的持续改进和发展。
GB/T 20261-2020《信息安全技术 系统安全工程 能力成熟度模型》的发布和实施,标志着我国在信息系统安全工程领域迈出了重要的一步。通过遵循本标准,组织能够系统地提升其系统安全工程能力,为保障国家信息安全贡献力量。
