我們知道系統(tǒng)安全工程是基于系統(tǒng)工程的一套科學(xué)的方法論。該方法論涵蓋了組織做安全管理所涉及的過程、步驟和方法。每個組織在執(zhí)行具體的安全管理過程中,也會結(jié)合組織現(xiàn)有需要解決的實際安全問題和組織當(dāng)前的管理成熟度來具體詮釋系統(tǒng)安全工程在特定組織的落地方法。
由于不同組織執(zhí)行安全管理的執(zhí)行力和資源投入是不同的,我們需要一個標準化的評估體系來客觀和全面地評價一個組織在實施系統(tǒng)安全的能力成熟度。SE-CMM就是用來進行系統(tǒng)安全工程能力成熟度評估的模型。
SSE-CMM模型描述了一個組織的系統(tǒng)安全工程過程必須包含的公共特征,這些公共特征是證明組織在實施安全工程的保證證明,也可以作為測試特定組織在實施系統(tǒng)安全工程的度量(測評)標準?;诿總€提供系統(tǒng)安全產(chǎn)品、服務(wù)或解決方案的系統(tǒng)安全工程實施方,我們都可以基于SSE-CMM模型標準來對其實施能力進行合理判斷。這樣,系統(tǒng)安全工程的獲取組織(也就是甲方)可以降低選擇不合規(guī)安全供應(yīng)商的風(fēng)險。SSE-CMM模型對于安全工程的實施組織(也就是乙方)也是有好處的,其所獲得的SSE-CMM成熟度等級是安全實施能力的有利佐證。SSE-CMM模型所要求的公共特征為安全工程實施組織明確了其當(dāng)下和未來的改進方向。
SSE-CMM模型是一個兩維的評價模型,分別稱為“域維”和“能力維”。SSE-CMM模型的第一個維度是域維。域維包括很多過程域(Process Area,PA),每個過程域都包括一組基本實踐(Base Practice,BP)。我們可以認為基本實踐是為了實現(xiàn)特定過程域目標的必要步驟,而且這些步驟是強制實施的。SSE-CMM模型的第二個維度是能力維,能力維一般是5級,這與軟件開發(fā)成熟度模型CMM的能力成熟度評級標準相一致。安全工程的實施組織所能評到的能力級別,與該組織所擁有的針對不同級別所必須具有的公共特征直接相關(guān)。我們可以針對域維中過程域進行能力級別評估,不同能力級別會強制要求具備必要的公共特征。比如一個過程域如果要評為三級的話,其所對應(yīng)的公共特征描述為“針對該過程域的基本實踐是已經(jīng)充分定義的標準過程,過程已經(jīng)被制度化,確保重復(fù)執(zhí)行該過程可以達成一致性的(同樣的)效果”。
SSE-CMM的測評舉例如下?:
我們可以針對安全工程實施組織的多個過程域進行測評,測評的結(jié)果可以基于木桶定律來綜合評分。也就是一個組織的安全工程實施能力以其打分最少的過程域來計量其成熟度級別。比如某個安全工程實施組織被測了5個過程域,其中4個過程域的評級為3級,有1個過程域的評級為1級。那么,該組織的SSE-CMM評級為1級。
總之,SSE-CMM模型是一套可以用來檢驗系統(tǒng)安全工程實施成熟度的方法論,無論是對于安全工程獲取組織(甲方)、安全工程實施組織(乙方)和第三方測評機構(gòu)都有其現(xiàn)實的意義。我們可以把SSE-CMM模型與我們所熟知的CMM模型進行橫向比較學(xué)習(xí),獲得更多意想不到的收獲。