1.4.4   安全工程能力成熟度模型

1.什么是SSE-CMM

SSE-CMM模型是一種衡量SSE實施能力的方法，主要用于指導SSE的完善和改進，使SSE成為一個清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的學科。

現代統計過程控制理論表明，通過強調生產過程的高質量和在過程中組織實施的成熟性可以低成本地生產出高質量產品。對于安全系統和可信產品的開發，如果增加所需的成本和時間，就可以保證更有效的過程。安全系統的運行與維護也依賴于人和技術過程。通過強調所使用過程的質量和過程中組織實施的成熟性，可以降低管理成本。

CMM是一個框架，它用于將一個工程組織從一個特定的，組織不善、效率不高的狀態，進化成高度結構化的且高效的狀態。SSE-CMM的開發基于這樣的期望，即在安全工程中使用統計過程控制概念以促進在預期的成本、進度及質量范圍內開發出安全系統和可信產品。

SSE-CMM模型描述了一個組織的系統安全工程過程必須包含的本質特征，或者叫基本安全實施。這些特征是完善的安全工程保證，也是系統安全工程實施的度量標準，同時還是一個易于理解的評估系統安全工程實施的框架。

作為安全工程實施的標準度量標準，SSE-CMM擁有SSE的所有特征，如它覆蓋整個組織的活動，包括管理、組織和工程活動等，而不僅僅是系統安全的工程活動；它與其它組織的相互作用，涉及開發者、產品供應商、集成商、采購者、安全評估組織、資質評估認證組織、咨詢服務商等；同時SSE-CMM不是孤立的工程，而是與其它工程并行且相互作用，包括企業工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測試工程、系統管理等。另外，SSE-CMM可應用于所有類型和大小的安全工程機構，如業務機構、政府機構和學術機構。