《信息技术系统安全工程能力成熟度模型》明确了系统安全工程服务方、工程需求方、工程评价方所应遵循的基本原则、规范及服务行为:为国内提供安全工程服务的组织提供科学、系统的理论指导作用,进一步提高系统安全工程服务提供方的服务能力;为系统安全工程需求方提供采购安全服务的理论参考依据;为系统安全工程评价方提供客观评价系统安全工程服务提供组织的服务能力的理论指导框架;通过对上述三方的指导作用,进一步规范国内系统安全工程服务的活动,提高相关服务的质量,为国内的系统安全工程服务水平的提高发挥指导作用。
近年来,国内对于系统安全工程的应用十分广泛,覆盖了电信、金融、能源、电力、教育、税务等关键信息基础设施覆盖行业,并且呈现出深入应用的趋势。伴随系统安全工程的应用范围的扩大,目前国家标准GB/T20261-2006已经不能完全满足对组织安全工程服务应用的需求。标准中规定的部分内容早已不适应于目前的信息安全服务形式的发展,并且原标准中的部分内容翻译存在商榷之处,与我国目前的安全服务现状不相符,不能充分发挥对目前我国从事系统安全工程的组织的指导作用,故急需对目前标准的内容进行修订。
作为网络安全人才培养领军企业,永信至诚一直专注网络安全领域的研究,至今已有十多年的经验和积累。公司自成立以来积极参与国内和国际信息安全标准化工作,先后参与完成多项信息安全国家标准。其中,2017年参与起草了信安标委的《信息安全技术网络空间安全人员角色分类和能力要求》。在研究国外网络安全人才知识、能力、技能、素养的基础上,结合我国政府及关键基础设施网络安全的保障需求,通过深入分析我国对网络安全人才知识、技能、素养的不同要求,提出科学的网络安全人才分类与管理体系,以此规范化我国网络安全人才的分类和能力要求。
此次牵头《信息技术系统安全工程能力成熟度模型》修订工作,经过全体委员投票通过,是对公司安全服务能力的再次认可,永信至诚将与合作单位共同完成修订工作,对目前GB/T20261-2006标准中存在的不适应国内系统安全工程服务的内容、不完善的系统安全工程服务能力定级方法进行修订,与国际最新SSE-CMM标准水平达成一致,以达到更好的指导国内系统安全工程服务的目的。
未来永信至诚将继续以国家责任与教育者的使命为动力,不断向着“带给世界安全感”的愿景前进。