GB/T 20261—2020代替 GB/T 20261—2006
信息安全技术 系统安全工程能力成熟度模型
Information security technology—System security engineering— Capability maturity model (ISO/IEC 21827:2008,Information technology—Security techniques— Systems security engineering—Capability maturity model,MOD)
2021-06-01 实施
2020-11-19 发布
前 言
本标准按照 GB/T 1.1—2009 给出的规则起草。
本标准代替 GB/T 20261—2006《信息技术系统安全工程 能力成熟度模》，与GB/T 20261— 2006 相比，主要技术变化如下（主要变化对比表见附录 G）∶
——修改了部分规范性引用文件（见第 2 章，2006 年版的第 2 章）;
——增加了术语和定义，即"基本实践""能力""信息安全事态""信息安全事件""过程域""风险管理";
——修改了术语和定义中"保障""工程组""工作产品"的定义;并把"残留风险"修改为"残余风险"（见第 3 章，2006 年版的第 3 章）;
——删除了术语"惯例"（ 见 2006年版的 3.24）;
——修改了部分章条标题，合并、调整和删除了部分内容关联和不适合作为国家标准的内容（见4.1、4.2、4.3、4.4、4.5、4.6、5.1);
——删除了原第 5章，原第 6 章、第 7章调整为第 5章、第 6 章（2006年版的第 5 章，第 6 章、第 7章）∶
——增加了第6章中 BP.06.03 定义安全测量，以及ISO/IEC 21827∶2008 相对于 ISO/IEC 21827∶2002 增加及修订的内容（见第 6章）;
——增加了附录 A 和附录 B（见附录 A、附录 B）;
——修改了附录C中对能力等级的5 个级别的定义，与现行标准 GB/T 30271 等标准描述一致;
——修改了附录 D 中的系列过程域编号与过程域描述不匹配的错误信息（见 D.6.1.1、D.7.7.3、D.9.3.3、D.11.1.1、D.11.4、D.11.4.1、D.12.3.1);
——增加了附录中为便于标准模型与现行安全服务映射关系的附录 F（见附录 F）;
——增加了与 GB/T 20261—2006 的主要变化对比表（见附录 G）。
本标准使用重新起草法修改采用ISO/IEC 21827∶2008《信息技术 安全技术 系统安全工程 能力成熟度模型》。
本标准与 ISO/IEC 21827∶2008 相比在结构上有一定调整，附录 A 中列出了本标准与 ISO/IEC 21827∶2008 的章条标号对照一览表。
本标准与 ISO/IEC 21827∶2008 相比存在技术性差异，附录 B中给出了相应的技术差异及原因的一览表。
本标准做了下列编辑性修改∶
——将标准名称修改为《信息安全技术 系统安全工程 能力成熟度模型》。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。