GB∕T 20261-2020 信息安全技术 系统安全工程 能力成熟度模型1.docx
ICS 35.040L 80侬中华人民共和国国家标准GB/T202612020代替GB/T202612006信息安全技术系统安全工程能力成熟度模型Informationsecuritytechnology-SystemsecurityengineeringCapabilitymaturitymodel(ISO/IEC21827:2008,Informationtechnology一Securitytechniques一SystemssecurityengineeringCapabilitymaturitymodel,MOD)2021-0D1 实施202(MI-19发布国家市场监督管理总局也国家标准化管理委员会发目次前言III引言IV0.1概要IV0.2如何使用SSE-CMM©?V0.3使用SSE-CMMO的好处V1范围12规范性引用文件13术语和定义24系统安全工程概述61.1 1安全工程的开发背景61.2 安全工程的重要性71.3 安全工程组织71.4 安全工程生存周期71.5 安全工程和其他学科81.6 安全工程专业85模型体系结构85.1安全工程过程概述85.2SSE-CMM体系结构描述115.3汇总表196安全基本实践196.1安全基本实践概述196.2PAOl管理安全控制206.3PA02评估影响236.4PA03评估安全风险266.5PA04评估威胁306.6PA05评估脆弱性336.7PA06建立保障论据366.8PA07协调安全396.9PA08监视安全态势416.10PA09一提供安全输入456.11PAIO-确定安全需要496.12PAll验证和确认安全53附录A(资料性附录)本标准与ISO/IEC21827:2008相比的结构变化情况56附录B(资料性附录)本标准与ISO/IEC21827:2008的技术性差异及其原因59附录C(规范性附录)通用实践61IC.1总则61C.2能力等级1基本执行61C.3能力等级2计划跟踪62C.4能力等级3充分定义67C. 5能力等级4量化控制71C.6能力等级5持续改进73附录D(规范性附录)项目与组织基本实践76D.1综述76D.2一般安全注意事项76D.3PA12确保质量76D.4PA13管理配置81D.5PA14管理项目风险84D.6PA15监督和控制技术工作88D.7PA16策划技术工作90D.8PA17定义组织系统工程过程96D.9PA18改进组织系统工程过程99D.10PA19管理产品线演化101D.11PA20一一管理系统工程支持环境104D.12PA21提供持续发展的技能和知识107D. 13PA22与供方协调112附录E(资料性附录)能力成熟度模型概念116E. 1概述116E.2过程改进116E.3预期结果117E.4常见误解117E.5关键概念118附录F(资料性附录)信息安全服务与安全工程过程域对应表122附录G(资料性附录)GB/T20261-XXXX与GB/T202612006主要变化对比表123参考文献127kqqw.前言本标准按照GB/TL1-2009给出的规则起草。本标准代替GB/T202612006信息技术系统安全工程能力成熟度模型,与GB/T202612006相比,主要技术变化如下(主要变化对比表见附录G):一一修改了部分规范性引用文件(见第2章,2006年版的第2章);一增加了术语和定义,即“基本实践”“能力”“信息安全事态”信息安全事件"“过程域""风险管理”;一修改了术语和定义中“保障”工程组”"工作产品”的定义:并把“残留风险”修改为"残余风险”(见第3章,2006年版的第3章);一一删除了术语“惯例”(见2006年版的3.24);一修改了部分章条标题,合并、调整和删除了部分内容关联和不适合作为国家标准的内容(见4.1、4.2、4.3、4.4、4.5、46、5.1);删除了原第5章,原第6章、第7章调整为第5章、第6章(2006年版的第5章,第6章、第7章);增加了第6章中BP.06.03定义安全测量,以及ISO/IEC21827:2008相对于IS0/IEC21827:2002增加及修订的内容(见第6章);增加了附录A和附录B(见附录A、附录B);修改了附录C中对能力等级的5个级别的定义,与现行标准GB/T30271等标准描述一致;-修改了附录D中的系列过程域编号与过程域描述不匹配的错误信息(见D.6.L1、D.7.7.3、D.9.3.3D.11.1.UD.11.4、D.l1.4.1.D.12.3.1);增加了附录中为便于标准模型与现行安全服务映射关系的附录F(见附录F);增加了与GB/T202612006的主要变化对比表(见附录G)。本标准使用重新起草法修改采用ISO/IEC21827:2008信息技术安全技术系统安全工程能力成熟度模型。本标准与ISO/IEC21827:2008相比在结构上有一定调整,附录A中列出了本标准与ISO/IEC21827:2008的章条标号对照一览表。本标准与ISO/IEC21827:2008相比存在技术性差异,附录B中给出了相应的技术差异及原因的一览表。本标准做了下列编辑性修改:一将标准名称修改为信息安全技术系统安全工程能力成熟度模型。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:北京永信至诚科技股份有限公司、中国信息安全测评中心、中新网络信息安全股份有限公司、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、北京奇安信科技有限公司、北京江南天安科技有限公司、公安部第三研究所、国家信息中心、北京邮电大学、北京启明星辰信息安全技术有限公司。本标准主要起草人:孙明亮、朱胜涛、王军、温哲、李斌、位华、王琰、张晓菲、蔡晶晶、陈冠直、王翼、郭颖、郑新华、杨建军、刘贤刚、上官晓丽、许玉娜、任卫红、袁静、高亚楠、余慧英、李小勇、吕俐丹、侯晓雄、米凯、吴璇、乔鹏、刘蕾杰、梁峰。本标准所代替标准的历次版本发布情况为:GB/T202612006oIII本标准依据国际标准最新版本(1S0/IEC21827:2008),结合国内最优实践,从系统安全工程的科学性和可指导性出发进行修订,对标准术语、安全工程过程域及能力维进行更新和优化。0.1概要在计算机程序开发中一一无论是操作系统软件、安全管理和执行功能、软件、应用程序中间件一各种各样的组织都在实践安全工程。因此,产品开发者、服务提供者、系统集成者、系统管理者,甚至是安全专家都要求有合适的方法和实践。部分组织关注高层次问题(例如涉及运行使用或系统体系结构),另一部分组织则涉及低层次问题(例如,机构选择或者设计),还有些组织两者都涉及。许多组织可能专门研究某种特定类型的技术,或者某个专业范畴(例如,航海)。SSE-C三1)是针对所有此类组织而设计的。使用SSE-CMM®并不意味着一个组织就比另一个组织更关注安全,也不意味着任何SSE-CMM使用方法是必需的。组织的业务核心也不会因为使用SSE-CMMO而发生偏离。根据组织的业务核心,使用某些(而不是全部)己定义的安全工程实践。除此之外,组织可能需要考虑模型范围内不同实践之间的关系,以确定它们的可用性。下面的例子说明了各种不同的组织可以把SSE-QIMO用于软件、系统、设备开发和运行。本标准与过程评估系列标准(ISO/IEC330XX系列),特别是ISO/IEC33020有关,因为它们都涉及过程改进和能力成熟度评估。但是,过程评估系列标准适用于所有过程,而SSEYMM则专注于安全性。1)安全服务提供者为了测量一个组织执行风险评估的过程能力,要使用几组不同的实践。在系统开发或集成期间,可能需要评估该组织在确定和分析安全脆弱性以及评估运行影响方面的能力。在系统运行期间下,可能需要评估该组织在监视系统安全态势、识别和分析安全脆弱性以及评估运行影响方面的能力。2)对策开发者在一个组专注对策开发的情况下,可能要通过SSE-CMMQ的实践组合来描述组织的过程能力特性。该模型包含若干提出确定和分析安全脆弱性、评估运行影响以及向涉及的其他组(例如软件组)提供输入和指南的实践。提供制定对策服务的组需要理解这些实践之间的关系。3)产品开发者SSEYMM包含部分专门针对理解客户安全需要的实践。要求与客户反复商讨,以便确定这些需要。如果某个产品的开发不受特定客户的约束,该产品的客户就是通用客户。在这种情况下,如果要求考虑客户,可以把产品营销组或其他组作为假想的客户。安全工程专业人员都理解,产品背景和产品开发方法随产品本身的变化而变化。不过,已经知道有一些与产品和项目背景有关的问题对产品的构思、生产、交付和维护方法有影响。下列问题对SSE-CMM特别有意义:客户基本类型(产品、系统和服务);1)C三和CapabiIityMatUrityMOdel均是美国卡内基梅隆大学(CMU)的服务商标,受相关法律和法规的WoIV 保障要求(高与低); 对开发和运行组织的支持。下面讨论两个不同客户群之间的差异,保证要求的不同程度以及SSE-CMM中每个差异的影响。这些是作为组织或行业部门如何确定在其环境中正确使用SSEYMM的示例。4)特定的行业部门各个行业反映了其特定的文化、术语和交流风格。通过尽可能降低角色相关性和组织结构关联性,可预见SSEYMM的概念可以容易地在所有行业部门中转化成其自身的语言和文化。0.2如何使用SSE-CMM?SSE-C三和应用该模型的方法(例如:评估方法)的预期用途如下: 工具工程组织用于评价其安全工程实践和定义改进; 方法一一安全工程评价组织(例如认证机构和评价机构)用于确定组织能力(作为系统或产品安全保障的收入)信任度; 标准机制一一客户用于评价提供者的安全工程能力。评估范围应由评估机构确定,如果有必要应与评估人员讨论。如果使用模型和评估方法的用户透彻地理解模型的正确使用法及其内在的限制条件,则在应用模型进行自我改进和选择供方的过程中可使用该评价技术。关于使用过程评估的其他信息,可以在IS0IECTR33014:2013中找到。0.3使用SSEa的好处安全的趋势是从保护涉密的政府数据向包括金融交易、合同协议、个人信息以及互联网在内的更加广泛的利害攸关领域转移。已经出现相应的维护和保护信息的产品、系统和服务的衍生物。这些安全产品和系统一般以两种方式之一进入市场:长期而昂贵的评价或者无需评价。在前一种情况下,可信的产品往往要在确定它们的特性是必要的之后很长时间并且那些己部署的安全系统不再应付当前威胁时,才到达市场。在后一种情况下,获取者和用户一定要只依赖产品或者系统开发者或运营商的安全声明。而且,以往的安全工程服务往往都带着这种警告进入市场。这种情况要求组织以更成熟的方式实施安全工程。特别是在生产和准备安全系统和可信产品时,需要下列品质: 连续性一一在以前的工作中获取的知识应用于今后的工作中; 可重复性确保项目可以成功重复的方法; 有效性一一有助于开发者和评价者更有效工作的方法; 保障指出安全要求的置信度。为了准备这些要求,需要某种机制用于指导组织去了解和改进它们的安全工程实践。正在开发的SSE-CMMO,以改进所要交付的安全系统、可信产品和安全工程服务的质量和可用性以及降低其成本为目标,提高安全工程实践水平,以适应这些需求。特别是可预见到有下列好处:1)对工程组织工程组织包括系统集成商、应用开发商、商品厂商和服务提供商。对于这些组织来说,SSE-QM的好处包括: 由于可重复、可预计的过程利实践使返工减少而带来的节约; 真实执行能力,特别是来源选择方面的信誉; 专注于度量到的组织能力(成熟度)和改进。V2)对于获取组织获取者包括从外部/内部来源获得的系统、产品和服务的组织和最终用户。对于这些组织,SSE-CMM的好处包括: 可重用的标准置标语言和评价手段; 减少选择不合格投标者的风险(性能、费用、进度); 由于以业界标准为基础统一评估,引起的异议不多; 产品或服务达到可预计、可重复的信任程度。3)对于评价组织评价组织包括系统认证机构、系统认可机构、产品评价机构和产品评估机构。对于这些组织,SSE-CMM的好处包括: 过程评估结果可重用,与系统或产品变更无关; 安全工程以及与其他学科的集成可信; 用证据证明能力,减少安全评价工作量。VIkqqw.信息安全技术系统安全工程能力成熟度模型1范围本标准给出了系统安全工程能力成熟度模型(以下简称SSE-C三)是一个过程参考模型,它关注信息技术安全(ITS)领域内的某个系统或者若干相关系统实现安全的要求。在ITS领域内,SSE-CMM关注的是用来实现ITS的过程,尤其是这些过程的成熟度。SSEYMM的目的不是规定组织使用的具体过程,更不会涉及具体的方法,而是希望准备使用SSE-CMMO的组织利用其现有的过程一一那些以其他任何信息技术安全指导文件为基础的过程。本标准界定了SSEYMM是专门用于改进和评估安全工程能力的模型,不能独立于其他工程学科开展安全工程活动。相反,SSEYMM认为安全己经渗透到所有的工程学科领域(例如系统、软件和硬件)并且通过定义模型部件来处理这类利害关系,从而促进这类学科间的整合。公共特征协调安全实践”承认有必要使安全与所有涉及某个项目的或者共同处于某个组织内的学科和组整合在一起。与之类似,过程域“协调安全”定义了用于协调安全工程活动的目标和机制。本标准适用于: 涉及整个生存周期的安全产品或可信系统的系统安全工程活动:概念定义、需求分析、设计、开发、集成、安装、运行、哪以及最终退役; 对产品开发人员、安全系统开发人员和集成商,以及提供计算机安全服务和计算机安全工程组织的要求; 政府部门、商业界、学术界的各种类型和规模的安全工程组织; 系统安全工程的需求方、提供方和评估方。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.1-2015信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型(IS0/IEC15408-1:2009,IDT)GB/T250692010信息安全技术术语GB/T292462017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC27000:2016,IDT)GB/T30271-2013信息安全技术信息安全服务能力评估准则IS0/IEC15288系统和软件工程系统生存周期过程(SyStemSandsoftwareengineeringSystemlifecycleprocesses)IS0IEC33020信息技术过程评估过程评估的过程测量框架(InfOrnIationtechnology一ProcessassessmentProcessmeasurementframeworkforassessmentofprocesscapability)3术语和定义GB/T250692010.GB/T292462017GB/T18336.12015.GB/T302712013界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T25069-2010中的某些术语和定义。3.1可梭酊4accutibility确保可将一个实体的行动唯一地追踪到此实体的特性。GB/T250692010,定义2.L183.2认可accreditation权力机构为了对以下三个方面给出正式的认同、批准并且接受他们残余风险所采取的规程:a)有关自动化系统的运行,其中该系统运行在特定的安全模式下,使用一套特定的防护措施;b)有关承担特定任务的安全机构或个人;c)有关针对目标环境的安全服务。GB/T250692010,定义2.3,823.3WSassessuent系统化的检验一个实体满足所规约的需求的程度。当用于可交付件时,与评价是同义的。GB/T250692010,定义2.3.663.4Wteasset对组织有价值的任何东西。GB/T250692010,定义2.3.1133.5assurance为使他人获得可交付件满足其安全目标的信心,而履行的适当行为和过程。GB/T250692010,定义2.3.103.6保障论据assuranceargn三t由证据和推理支持的、清楚地证明保障需要是如何得到满足的一组结构化保障声明。3.7声明assuranceclaim系统满足安全需要的断言或支持性断言。注:保障声明既针对直接威胁(例如,防止系统数据遭受外部攻击),也针对间接威胁(例如,使系统代码漏洞尽可能小)。3.8Eassuranceevidence可以据以做出保障声明判断或者结论的数据。注:保障证据可由观察项、测试结果、分析结果和评估结果构成。3.9真实性authenticity确保主体或者资源的身份正是所声称的特性。真实性适用于用户、进程、系统和信息之类的实体。GB/T250692010,定义2.L691.1 10可用性availability根据授权实体的要求可访问和可使用的特性。GB/T292462017,定义2.93.11基线baseline经过一个正式评审并通过的规约或产品,作为后续开发的基础。对其变更只有通过正式的变更控制规程方可进行。GB/T250692010,定义2.2.4.33.12基本实践basepracticesjH5系统工程过程中应存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的要求。注:一个过程域由基本实践(BP)组成。GB/T302712013,定义3.L23.13能力capability组织、体系或过程实现产品并使其满足要求的本领。3.14认证Certificaticn对可交付件是否符合规定需求所给出的正式保证陈述的规程。可由第三方执行认证或自行认证。GB/T250692010,定义2.3.843.15保置Cenfidentiality使信息不泄露给未授权的个人、实体、过程,或不被其利用的特性。GB/T250692010,定义2.1.13.16一致性COnSiStCy在某一系统或构件中,各文档或各部分之间统一的、标准化的和无矛盾的程度。GB/T250692010,定义2.L62正确性rrectness针对规定的安全要求,产品或者系统显示其正确实现这些要求的表现。3.18客户customer供方提供的产品的接收者。注1:在合同条件下,客户叫做买方。注2:客户可以是最终客户、用户、受益人或买方。注3:客户可以是组织外部的,也可以是组织内部的,见TSO9000。3.19tteffectiveness对某一系统或者产品,在建议的或实际的运行使用环境下,表示其提供安全程度的特性。3.20 20TSSengineeringgroip对与特定工程学科相关的项目或组织活动负责的人群(包括管理人员和技术人员)°注:工程学科包括硬件、软件、软件配置管理、软件质量保原、系统、系统测试和系统安全。3.21三iEevidence过程和(或)产品的可直接测量的特征,它体现具体活动满足规定要求的客观的、可表明的证明。3.22信息安全事态informationsecurityevent表明一次可能的信息安全违规或某些控制失效的发生。GB/T20985.12017,定义3.33.23信息安全事件infnnationsecurityincident与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态。GB/T20985.12017,定义3.43.24完整性integrity准确和完备的特性。GB/T292462017,定义2.403.25维护maintenance交付后为了纠正缺陷、改进性能以及其他属性或适应环境变化而对系统或组件进行修改的过程。GB/T250692010,定义2.3.973.26½学methodology定义系统或产品的完整开发途径的标准、规程和支持方法的集合。3.21 27渗透抡廓penetrationprofile对渗透所要求的活动的定义。Sprocedure对执行个给定任务所采取动作历程的书面描述。GB/T250692010,定义2.1.73.29过程process将输入转换成输出的相互关联或相关作用的活动集。GB/T292462017,定义2.613.30过程域processarea;PA一组相关系统工程过程的性质,当这些性质全部实施后则能够达到过程域定义的目的。GBT302712013,定义3.1.103.31可Uttreliability与预期行为和结果一致的特性。GB/T292462017,定义2.623.32残余风险residualrisk风险处置后余下的风险。注1:残余风险可能包含未识别的风险。注2:残余风险也可以被称为“保留风险”。GB/T292462017,定义2.643.33风险risk对目标的不确定性影响。注1:影响是指与期望的偏离(正向的或反向的)。注2:不确定性是对事态及其结果或可能性的相关信息、理解或知识缺乏的状态卿使是部分的)。注3:风险常被表征为潜在的事态和后果,或者它们的组合。注4:风险常被表示为事态的后果(包括情形的改变)和其发生可能性的组合。注5:在信息安全管理体系的语境下,信息安全风险可被表示为对信息安全目标的不确定性影响。海:信息安全风险与威胁利用信息资产或信息资产组的陶弼对组织造成危害的潜力相关。GB/T292462017,定义2.683.34风险分析riskanalysis理解风险本质和确定风险等级的过程。注1:风险分析提供风险评价和风险处置决策的基础。注2:风险分析包括风险估算。GB/T292462017,定义2.703.35风险管理riskmanagement指导和控制组织相关风险的协调活动。GB/T292462017,定义2.763.36安全额Ssecuritypolicy用于治理组织及其系统内如何管理、保护和分发资产(包括敏感信息)的规则、指导和实践,特别是那些影响系统及相关要素的。3.37安全相关要求securityrelatedrequirement直接作用于系统安全运行或者强制执行规定安全策略的要求。3.38系统system具有物理存在和既定目的的、完全由集成的、交互的组件组成的离散的可区分实体,每个组件不单独符合所要求的总体目的。注1:在实践中,系统是“在旁观者眼中的”,通常用联合名词掇清其含义(例如,产品系统、飞到藤统)。另种方式是使用上下文依赖的同义词(例如,产品、飞机)进行简单取代,尽管这可能使系统原理观点变制莫糊。注2:系统在其生存周期中,为了满足自身的需求,可能需要其他系统。例如,一个运行系统可能需要个系统用于概念化、开发、生产、运行、媾或处置。3.39threat不论是内部还是外部引起的,可能对信息、程序或系统造成损害或者波及其他损害的,敌对者的能力、意图和攻击方式,或者任何环境或事件。3.40威胁方threatagent故意或意外的人为威胁的原发方和/或发起方。GB/T250692010,定义2.3.953.41确认validation通过提供客观证据,证实满足特定预期使用或应用要求的行为。GB/T292462017,定义2.873.42三Verificaticn通过提供客观证据,证实满足规定要求的行为。注:也蹄为符合l测试。GB/T292462017,定义2.883.43脆弱性vulnerability可能被一个或多个威胁利用的资产或控制的弱点。GB/T292462017,定义2.893.44工作产品workproduct在执行任何过程中产生出的所有文档、报告、文件、数据等。GB/T302712013,定义3.1.13注:一个工作产品可能被个过程使用、生产或者改变。4系统安全工程概述4.1安全工程的开发背景需求方和提供方都期望改进安全产品、系统和服务。安全工程领域已经存在一些普遍接受的原则,但是目前还缺乏评价安全工程管理的综合性框架。SSE-CMMO通过确定这样一个框架,提供了一个测量和改进安全工程原则应用性能的方法。安全工程是一门独特的学科,要求专门的知识、技能和过程为开发安全工程特有的能力成熟度模型提供保证。这种要求与基于系统工程实施安全工程的要求并不相悖。事实上,充分定义的和公认的系统工程活动可以使安全工程在各种背景下有效开展。现代统计过程控制认为,通过强调产品生产过程的质量管理以及过程中组织实践行为的成熟度,能够生产出质量更高的产品,并有效节约成本。倘若增加安全系统和可信产品开发要求的费用和时间,将保证过程更有效。安全系统的运行和维护依赖于人和技术的结合。强调所有这些过程的质量以及过程内在组织实践行为的成熟度,能够更好地管理这些依赖关系。6SSE-CMM®项目的目标是使安全工程提升成为一门得到定义的、成熟的和可度量的学科。SSE-CMM和评估方法的开发是为了促成: 各个工程组关注安全工程工具、培训、过程定义、管理实践以及改进领域内的投资; 基于能力的保障,即基于工程组的安全实践和过程的成熟度的置信度的可信性; 通过按能力等级和与之相关的风险来区分投标者,选择有合适资格的安全工程提供方。SSE-CfM描述一个组织中为确保优质安全工程而需具备的安全工程过程的基本特性。该模型汇集了在行业中普遍遵循的实践,且不规定具体的过程或顺序。对于覆盖下列领域的安全工程实践,这个模型提供了一个统一的衡量尺度: 整个生存周期,包括开发、运行、维护和退役等活动: 整个组织,包括管理类、组织类和工程类活动; 与其他学科(例如,系统、软件、硬件、人机工程和测试工程,以及系统管理、运行和维护)的并发交互作用; 与其他组织的交互作用,包括获取、系统管理、认证、认可和评价。SSE-CMM®的模型描述包括:该模型所依据的原理和体系结构的综述,模型的执行概要,正确使用该模型的建议,模型中包括的实践,以及模型属性描述。它还包括模型的开发要求。SSEYMM的评估方法描述用于对照该模型评价一个组织的安全工程能力的过程和工具。4.2 安全工程的要性安全工程正成为一门越来越重要的学科,是多学科并发工程队伍里的一个关键组成部分,适用于系统和应用项目的开发、集成、运行、管理、维护和演化,以及产品的开发、交付和改进。安全关注的内容应在企业和业务过程的定义、管理和重新设计中提出。通常,安全工程的目标包括: 识别与企业有关的安全风险; 按照已识别的风险确立一组均衡的安全需求; 把安全需求转变成安全指南,并纳入某个项目的实施活动中和某个系统配置或运行的描述中; 确定安全机制正确性和有效性的置信度或保障;确定由于系统或它的运行中残留的安全脆弱性对运行造成的影响是可以容忍的(如:确定可接受的风险); 从对系统可信性的综合理解上统筹考虑所有工程学科和专业的工作。4.3 安全工程组织安全工程活动由各种类型的组织实施,例如: 开发者; 产品销售商; 集成商; 采购方(采购组织或者最终用户); 安全评价组织(系统认证机构、产品评定机构,或者运行认可机构); 系统管理员; 可信的第三方(认证机构); 咨询/服务机构。4.4 安全工程生存周期在下列所有的生存周期阶段都要推进安全工程活动: 概念阶段; 开发阶段; 生产阶段: 使用阶段; 支持阶段; 退役阶段。4.5 安全工程和其他学科安全工程活动和许多其他学科相关联,包括: 系统工程; 软件工程; 人机工程; 通信工程; 硬件工程; 企业管理。注1:关于系统工程的更多信息,见IS0/IEC15288,该标准从系统的角度观察安全。注2:关于软件工程的更多信息,见GB/T85662007,该标准从软件的角度观察安全。安全工程活动应协调许多外部实体进行,因为残留运行影响的保障和可接受性是与开发者、集成商、采购方、用户、独立评价师以及其他群体共同确立的。正是由于众多组织之间的这些接口和必不可少的相互作用,使得安全工程特别复杂并且有别于其他工程学科。4.6 安全工程专业尽管在当前的安全和业务环境中,安全工程和信息技术安全是发展强劲的学科,但是也不应忽视其他传统安全学科,例如物理安全和人员安全。如果这些传统安全学科和其他专业学科分支在它们的工作中可以取得很好的效果,安全工程就应利用它们。下面的清单列出了部分专业安全学科分支的例子,同时给出简短描述,包括: 运行安全一一目标是运行环境的安全性以及安全运行态势的维护; 信息安全一一关于信息以及信息被操纵和处理期间的安全维护; 网络安全一一涉及网络硬件、软件和协议以及网络中传输的信息的保护; 物理安全一一核心是保护建筑物和物理场所的安全; 人员安全一一关系到人员、人员可信性以及他们的安全意识: 安全管理一一关系到安全性的行政管理和行政管理系统的安全性; 发射安全一一处理由所有那些能够向安全区域以外传输信息的机器产生的不希望的信号。5模型体系结构5.1 安全工程过程概述SSE-CMM是安全工程最佳实践的汇编。本章提供安全工程的高层次描述,然后说明模型的体系结构如何反映这种基本认识。安全工程过程分为三个基本领域:风险、工程和保障,见图1。这些领域之间存在关联关系,并不相互独立,为研究方便,也可以针对单个进行研究。在最简单的层次上,风险过程识别所开发的产品或系统的内在风险,并且给出优先顺序。针对这些危险所呈现的问题,安全工程过程与其他工程学科一起确8定和实现相应的解决方案。保障论据最后,保障过程确立安全解决方案的置信度并且把置信度传递给客户。(产品、系统或服务)j风险过程风险侑息图1安全工程过程的三个主要领域总而言之,这三个领域一起工作,其共同目标是确保安全工程过程的结果达到上述各个目标。5.1.1磁安全工程的一个主要目标是减少风险。风险评估是识别尚未发生的问题的过程,其通过检查威胁和脆弱性的可能性以及研究安全事件的潜在影响来评估风险,见图2。可能性是一个不确定因素,它将随具体情况的变化而变化,换句话说,可能性只能是在一定的限制范围内才能够进行预测。此外,由于安全事件可能不会发生,因此所评估的某特定风险的影响也存在相应的不确定性。因而,对于预计准确性而言,可能存在大量的不确定因素,所以对安全性作准确的预测和判断是非常困难的。一种简单经济同时又是局部的处理方式,是实现相关的事件检测技术。一个安全事件由三个部分构成:威胁、脆弱性和影响。脆弱性是可能被某个威胁利用的资产属性,包括各种弱点。如果既没有威胁也没有脆弱性,就不会发生安全事件,因而也就没有风险。风险管理是协调、指挥和控制一个组织风险管理工作的活动,包括建立组织可接受的风险水平,并相应地识别、分析、评估和处置风险。管理风险是安全管理的一个重要组成部分。图2安全风险过程通过采取防护措施处置风险,可能涉及威胁、脆弱性、影响或者风险本身。处置所有风险或者完全消除某特定风险是不可行的,这在很大程度上取决于风险处置成本以及相关的不确定性。因此,应接受某些残余风险。在不确定度比较高的情况下,风险接受。系统有关的不确定性是处于风险接受者控制的少数几个领域之一。SSE-CMM®过程域包括的活动有助于确保供方组织分析威肋,、脆弱性、影响以及相关的风险。5.1.2 工程安全工程包括概念、设计、实施、测试、部署、运行、维护和退役等阶段。在这整个过程中,安全工程师应与系统工程队伍的其他部分紧密配合开展工作。SSEYMM强调安全工程师是一个更大团队的一部分,需要与其他学科的工程师合作并协调他们的活动。这有助于确保安全成为这个更大过程的一个组成部分,而不是一个独立而又独特的活动。根据上述风险过程的信息,以及其他有关系统需求的信息、相关的法律和政策、安全工程师和客户一起确定安全需求,见图3。一旦确定需求,安全工程师要确定和跟踪具体的安全要求。建立安全问题解决方案的过程通常先确定可行的候选方案,然后评估候选方案,找到其中最可行的。整合这项活动与工程过程的其他活动的困难在于选择解决方案时不能只考虑安全,而是还应结合成本、性能、技术风险以及使用的简便性等因素并考虑。图3安全是整个工程过程的不可或缺的组成部分在生存周期的后面阶段,需要安全工程师确保按照已经识别到的风险对产品和系统进行正确的配置,确保残余风险不会影响系统的安全运行。5.1.3 保障“保障”是非常重要的安全工程产品,目前存在多种形式的保障。SSEYMM的一个贡献是对安全工程过程结果的可重复性赋予置信度。该置信度的理论基础是:一个成熟的组织比一个不成熟的组织更有可能重复这些结果,见图4。保障并不增加任何遇制安全风险的控制手段,而是提供已实施控制手段将减少风险的置信度。保障是防护措施将发挥预期作用的置信度。该置信度来源于正确性和有效性两方面,其中正确性是指按照设计正确地实现防护措施:有效性是指防护措施可以有效地提供的满足客户需要的安全服务。其他过程域据10图4保障过程建立保障论据提供保障可以论据的形式来传达。论据是指包括一组有关系统属性的声明,这些声明需要证据给予支持,而证据的形式通常是安全工程活动正常推进期间产生的文档。