1.4.4   安全工程能力成熟度模型

1.什么是SSE-CMM

SSE-CMM模型是一種衡量SSE實(shí)施能力的方法，主要用于指導(dǎo)SSE的完善和改進(jìn)，使SSE成為一個(gè)清晰定義的、成熟的、可管理的、可控制的、有效的和可度量的學(xué)科。

現(xiàn)代統(tǒng)計(jì)過程控制理論表明，通過強(qiáng)調(diào)生產(chǎn)過程的高質(zhì)量和在過程中組織實(shí)施的成熟性可以低成本地生產(chǎn)出高質(zhì)量產(chǎn)品。對(duì)于安全系統(tǒng)和可信產(chǎn)品的開發(fā)，如果增加所需的成本和時(shí)間，就可以保證更有效的過程。安全系統(tǒng)的運(yùn)行與維護(hù)也依賴于人和技術(shù)過程。通過強(qiáng)調(diào)所使用過程的質(zhì)量和過程中組織實(shí)施的成熟性，可以降低管理成本。

CMM是一個(gè)框架，它用于將一個(gè)工程組織從一個(gè)特定的，組織不善、效率不高的狀態(tài)，進(jìn)化成高度結(jié)構(gòu)化的且高效的狀態(tài)。SSE-CMM的開發(fā)基于這樣的期望，即在安全工程中使用統(tǒng)計(jì)過程控制概念以促進(jìn)在預(yù)期的成本、進(jìn)度及質(zhì)量范圍內(nèi)開發(fā)出安全系統(tǒng)和可信產(chǎn)品。

SSE-CMM模型描述了一個(gè)組織的系統(tǒng)安全工程過程必須包含的本質(zhì)特征，或者叫基本安全實(shí)施。這些特征是完善的安全工程保證，也是系統(tǒng)安全工程實(shí)施的度量標(biāo)準(zhǔn)，同時(shí)還是一個(gè)易于理解的評(píng)估系統(tǒng)安全工程實(shí)施的框架。

作為安全工程實(shí)施的標(biāo)準(zhǔn)度量標(biāo)準(zhǔn)，SSE-CMM擁有SSE的所有特征，如它覆蓋整個(gè)組織的活動(dòng)，包括管理、組織和工程活動(dòng)等，而不僅僅是系統(tǒng)安全的工程活動(dòng)；它與其它組織的相互作用，涉及開發(fā)者、產(chǎn)品供應(yīng)商、集成商、采購(gòu)者、安全評(píng)估組織、資質(zhì)評(píng)估認(rèn)證組織、咨詢服務(wù)商等；同時(shí)SSE-CMM不是孤立的工程，而是與其它工程并行且相互作用，包括企業(yè)工程、軟件工程、硬件工程、基建工程、人力資源工程、通信工程、測(cè)試工程、系統(tǒng)管理等。另外，SSE-CMM可應(yīng)用于所有類型和大小的安全工程機(jī)構(gòu)，如業(yè)務(wù)機(jī)構(gòu)、政府機(jī)構(gòu)和學(xué)術(shù)機(jī)構(gòu)。