1.4.4   安全工程能力成熟度模型

1.什么是SSE-CMM

SSE-CMM模型是一種衡量SSE實(shí)施能力的方法，主要用于指導(dǎo)SSE的完善和改進(jìn)，使SSE成為一個清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的學(xué)科。

現(xiàn)代統(tǒng)計過程控制理論表明，通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品。對于安全系統(tǒng)和可信產(chǎn)品的開發(fā)，如果增加所需的成本和時間，就可以保證更有效的過程。安全系統(tǒng)的運(yùn)行與維護(hù)也依賴于人和技術(shù)過程。通過強(qiáng)調(diào)所使用過程的質(zhì)量和過程中組織實(shí)施的成熟性，可以降低管理成本。

CMM是一個框架，它用于將一個工程組織從一個特定的，組織不善、效率不高的狀態(tài)，進(jìn)化成高度結(jié)構(gòu)化的且高效的狀態(tài)。SSE-CMM的開發(fā)基于這樣的期望，即在安全工程中使用統(tǒng)計過程控制概念以促進(jìn)在預(yù)期的成本、進(jìn)度及質(zhì)量范圍內(nèi)開發(fā)出安全系統(tǒng)和可信產(chǎn)品。

SSE-CMM模型描述了一個組織的系統(tǒng)安全工程過程必須包含的本質(zhì)特征，或者叫基本安全實(shí)施。這些特征是完善的安全工程保證，也是系統(tǒng)安全工程實(shí)施的度量標(biāo)準(zhǔn)，同時還是一個易于理解的評估系統(tǒng)安全工程實(shí)施的框架。

作為安全工程實(shí)施的標(biāo)準(zhǔn)度量標(biāo)準(zhǔn)，SSE-CMM擁有SSE的所有特征，如它覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統(tǒng)安全的工程活動；它與其它組織的相互作用，涉及開發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購者、安全評估組織、資質(zhì)評估認(rèn)證組織、咨詢服務(wù)商等；同時SSE-CMM不是孤立的工程，而是與其它工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測試工程、系統(tǒng)管理等。另外，SSE-CMM可應(yīng)用于所有類型和大小的安全工程機(jī)構(gòu)，如業(yè)務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。