-应用方式

2.4.1　SSE-CMM应用方式

SSE-CMM提供了一套业界范围内（包括政府及工业）的标准度量体系，其目的在于建立和促进安全工程成为一种成熟的、可度量的科目。SSE-CMM模型及评定方法确保了安全是处理硬件、软件、系统和组织安全问题的工程实施活动后得到的一个完整结果。该模型定义了一个安全工程过程应有的特征。这个安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是有效的。

1.SSE-CMM适用范围

有各类组织从事安全工程，其中包括产品开发者，服务提供者，系统集成者，系统管理者，直至安全专家。其中部分组织处理高层问题（如与处理运行使用或系统体系结构有关的问题），部分组织处理底层问题（如机制选择和设计），还有一部分组织涉及这两个层面。某些组织可能专长于某些特殊技术或某些特殊环境（如在海上）。

SSE-CMM的设计可用于所有这些组织。采用SSE-CMM并不意味着侧重其中某一个方面优于另一个方面，也不意味着SSE-CMM所有方面都需采用。组织的商务侧重点不必由于使用SSE-CMM，而发生偏离。

根据组织关注的焦点，可采用部分而不是全部的已定义安全工程实施过程。此外，组织可能会需要了解不同实施的关系来确定实施过程的适用性。

下面举例说明SSE-CMM实施活动如何应用于具有不同业务焦点的组织或团体。

（1）裁剪SSE-CMM

SSE-CMM模型所定义的元素均认为是安全工程实施的本质要素。但是，并非所有项目或组织需要实施SSE-CMM的所有过程区。因此，对于特定项目应该使用裁剪过程以去掉组织安全工程过程中不必要的过程区。

使用任何参考模型的任何过程改进均应支持商务目标，而不是指导商务目标。使用SSE-CMM的组织应根据商务目标来划分过程区实施的优先顺序，并首先致力于改进最高优先级的过程区。

需要注意的是裁剪是在过程区的层面上执行的。为了达到一个过程区的目标，使用把所有的基本实施都放在适当的位置的思想来撰写工程区。

（2）安全服务提供者

为测量一个组织的从事风险评估的过程能力，会涉及多个组参与活动。在系统开发或集成期间，需要评估该组织决定与分析安全脆弱性的能力，并且评估运行的影响。在这种运行情况下，评估组织对系统安全态势监控的能力，识别并分析安全脆弱性，以及评估运行的影响。

（3）防范措施开发者

在一个组以开发防范措施为主的情况下，组织的过程能力使用SSE-CMM的实施组合来特征化。该模型包含的实施活动有决定和分析安全脆弱性、评估操作影响和为其他组织（如软件组织）提供输入和指南。提供开发防范措施的服务组织需要理解上述实施间的关系。

（4）产品开发者

SSE-CMM包括致力于获得顾客安全要求的了解的实施。这些安全要求需通过与用户的交互来确定。当产品的开发独立于特定顾客时（顾客是泛指的）。在此情况下，如果需要，产品的市场部或其他部门可以作为假设的顾客。安全工程的实施者认识到产品开发的环境和方法如同产品本身一样是可变化的。然而，已知一些关于产品和项目环境的问题会影响到产品的构想、生产、交付和维护。

（5）特殊的工业部门

每个工业都自身有特殊的文化、术语和交流模式。为减少角色相关性和组织结构的影响，SSE-CMM期望能容易地将其概念转化为所有工业部门自身的语言和文化。

2.使用SSE-CMM进行评定

SSE-CMM支持范围广泛的改进活动，包括自身管理评定，或由从内部或外部组织的专家进行的更强要求的内部评定。虽然SSE-CMM主要用于内部过程改进，但也可用于评价潜在销售商从事安全工程过程的能力。

（1）SSE-CMM评定大纲

SSE-CMM的开发是基于如下考虑的，即安全性通常在系统工程相关环境（如大的系统集成者）中实施。它也认识到安全工程服务提供者可以将安全工程作为独立的活动来实施，该活动与一个独立的系统或软件（或其他）工程活动协调。因此识别出下述评定大纲：

●系统工程能力评定后，SSE-CMM评定可集中于组织的安全工程过程；

●通过与系统工程能力评定的结合，SSE-CMM评定可被裁剪以与SE-CMM集成；

●当执行独立的系统工程能力评定时，SSE-CMM的评定应从高于安全性的角度，考虑是否存在支持安全工程的过程项目和组织基础。

（2）SSE-CMM评定方法（SSAM）

在SSE-CMM评定中并不要求使用任何特殊的评定方法。然而为了在评定过程中最大程度地发挥SSE-CMM模型的功效，SSE-CMM项目设计一个评定方法。SSE-CMM评定方法（SSAM）和进行评定的一些支持材料在“SSE-CMM评定方法描述”[SSECMM97]文件中有全面的描述。这份文档列举了评定方法的基本前提，以提供有关如何将该模型用于评定的背景范围。

SSAM是组织层面或项目层面的评定方法。该方法的特征是采用多重数据收集方法，从选择组织机构中或从选择作为评定的项目中，获取过程实施方面的信息。SSAM第一个发布版本中的确定目的为：

●收集组织或项目内与安全工程相关实际实施的基线或基准；

●创建或支持组织结构的多层次改进动力。

SSAM可被剪裁以适用于组织或项目需要。SSAM描述文档中提供了一些剪裁方面的指南。

数据收集由三方面组成：

①直接反映模型的内容问卷；

②一系列有组织或随机的与涉及过程实施的关键人员的会谈；

③审阅生成的安全工程的证据。

涉及人员无须正式任命为“安全工程师”，SSE-CMM并不要求此角色。SSE-CMM应用于具有安全工程活动执行责任的人员。

多重反馈会议由评定参与者召开，最终是向所有参与者和发起人通报情况。简报包括被评定的不同过程区的能力级别，也包括以强弱划分优先级的集合，以支持基于组织评定目标的过程改进。

（3）决定实施安全工程过程的能力

图2-10中说明过程区（基本实施）和公共特征 （基本实施）如何用于决定安全工程过程的过程能力。对每个过程区，可确定能力级别0～5。

图2-10　确定过程能力

（4）为评定定义安全工程相关性

评估一个组织机构的第一步是决定该组织安全工程实施环境。安全工程可在任何工程环境下实施，尤其是系统、软件、和通信工程等环境。SSE-CMM期望适用于所有环境。环境的确定是为了决定：哪个过程区适用于这个组织？怎样解释过程区（如开发相对于运行环境）？哪个人员需要参与评定？

注意，SSE-CMM不意味独立安全工程组织的存在，其目的在于针对组织中负责执行安全工程任务的人。

（5）在评定中使用结构的两个方面

建立一个组织从事安全工程过程轮廓的第一步是通过他们的执行过程，确定在组织内是否实现了基本安全工程过程（所有基本实施）。第二步是按照通用实施，考察基本实施，以评估所实现过程的管理和制度化（基本实践）情况。通过考虑基本实施和通用实施，可产生过程能力轮廓，它能够帮助组织决定适用于其商务目的的最有效的过程改进活动。

一般而言，评定由针对通用实施的每一个过程区评价组织，基本实施应被视为提出主题基本方面的指南，相关的通用实施涉及将基本实施应用于项目，牢记对每个过程区通用实施的应用将产生对主体过程区的唯一解释。

（6）序列

在项目生命期执行组织过程时，许多过程区将多次被使用。当需要把一个过程区的目的结合到项目或组织的过程中时，就实施而言过程区应视为一个源。在评定中，总是记住SSE-CMM不意味着一个序列，序列应根据组织或项目所选择的生命期和其他商务参数决定。

SSE-CMM模型和使用的方法（即评定方法）建议如下：

●作为工程组织的工具，用于评价安全工程实施活动，并定义它们的改进。

●作为顾客评价一个供应商的安全工程能力的标准机制。

●作为安全工程评价机构（如系统认证机构，产品评定机构等）的工作基础，用于建立基于整体组织能力的信任度（这个信任度可作为系统或产品的一个安全保证要素）。

如果这个模型及其评定方法的使用者能够完全理解模型的适用范围和它固有的局限性，那么这个评定技术可以适用于自我改进和选择供应商。