使用-的一般步骤

2.4.3　使用SSE-CMM的一般步骤

任何一个过程改进的启动都需要一个系统的方法以理解组织内这些过程的角色。SSE-CMM模型提供了一个框架，通过该框架可以理解安全的重要性和不断改进安全相关的过程。下面的几个步骤是作为SSE-CMM的“用户指南”来设计的，它提供一个结构化的方法，给感兴趣的任何组织的组成部分或实施安全工程的某些方面。这几个步骤概述如下：

过程自身的改进和过程改进的本身是一个持续的生命期策略，这个生命期由五个主要的阶段构成。这五个阶段包括：识别、承诺、分析、待补充、实现和再评价。此外，支持性管理成分贯穿于所有各个阶段。

1.启动

对于任何过程改进活动的第一步是明白为什么要这样做。在安全工程情况下，促进因素可能是来自于潜在客户对安全过程能力的具体级别的要求，可能是顾客需要安全产品能够反映和满足他们要求的保证，也可能仅仅是安全工程师厌恶在最后时刻要求其将安全引入已存在的产品，而不是将这项工作作为整个开发生命期的一个整体部分，或者还有大量的其他原因。无论哪种情况，按照安全要求正确地理解检查过程的目的，对任何开发或改进都是至关重要的。

实施启动的商务环境越复杂，要求过程作为一个整体的承诺越强烈。商务目标或利益能与安全过程的开发或改进相结合，则管理层对改进有更大的支持。正如以前所述，管理在过程的检查和实施中将起到核心的作用。特别在这个模型中，管理在启动阶段的支持将为整个过程改进活动确定基调。

在第一阶段活动安排和管理安排确立后，组织必须配置一个机构来管理应用SSE-CMM模型的复杂问题。该机制的规模、结构和状况的特殊性将依特定组织的需求不同而不同。但这个机构要负责文档化工作并负责明确改进所期待的目标。

第一阶段是开发/改进生命期后面阶段的基础。如果不执行这个阶段，那么则很可能忽略一些重要问题从而导致该模型无效或不当的使用。

2.诊断

过程改进（包括从没有过程到创建过程）基于组织当前状况和所期望的结果的理解。为了进行改进活动，需要对当前状况做某种形式的分析。通过系统安全工程，可感觉到应用SSE-CMM模型或者评定，是获得SSE-CMM项目的最佳方法。虽然，没有为SSE-CMM的评定规定特殊方法，但SSAM是一种由“项目”开发出的最有效的模型（SSE-CMM）设计出来的评定方法，是可用的。无论采用哪种方法论，所有参与者应该熟悉用于获得组织当前状态的过程。

理解组织所处的安全过程后，须提出如何改进的建议。一般情况下，这将由一个小组来完成，这个小组成员具备关于安全工程、安全分析和实现相关的专业技能、知识和经验。这些专家的建议和忠告通常对管理者继续改进的决策起很大的作用。因而对人员选择应该非常小心并且考虑对SSE-CMM的知识和熟悉程度。

3.评价

分析阶段在本质上是组织的安全过程的基准，在此阶段之后，必须对所推荐的改进提出接收和实现的计划。这些计划必须包括设定优先级、开发实现方法以及过程改进实现的实际计划。

设定优先级时必须考虑资源限制（项目费用），各种提议改进之间的内部依赖性（产品开发初期集成安全功能可能导致初始版本的延误），以及组织整体商务策略的关系（顾客愿意为附加的安全保证费用）。设定优先级与开发步骤或实现策略也是相互关联的。

4.应用

在一定条件认可后，应提出详细的实现计划。此计划包括组织要求的所有成分、资源、任务、里程碑等。

该阶段的适当的管理对第二部分生命期是关键的，尤其是优先级设定和方法确定方面。管理在裁决竞争目标和组织内部处于最好的位置。同样，由于管理层掌握对组织总体情况，可对商务方向不同的变化有更好的把握（例如试图完成更高的整体级别与巩固配置管理）。在计划阶段，过程改进生命期还包括分配完成计划所需要的资源。

在实际实现阶段，改进组织需将前三个阶段确立的改进投入实施。这是十分耗费时间和资源的，没有良好的计划和有力的管理支持是不能够完成的。

在这个阶段点，特定的过程改进和从建议到实际转换开始实施。这是新旧知识，技能，工具和信息的结合。需要再次指出的是，与管理的协调以确保计划的解决方案与整体商务目标结合是至关重要的，包括具有SSE-CMM知识的专家也被证明是关键的。

5.学习

解决方案确定后必须加以测试。当新的或不同的过程会产生有广泛的影响时，缓慢地以有组织的方式逐步实施方案是重要的。组织机构应意识到解决方案可能有未预料到的影响，第一轮的方案/过程理论上可以解决问题但可能在实际的世界上实现时不能够完成预想的目标，因而需要调整。记住没有“完美”的方案，但有可接受的方案。仅当调整的过程真正可接受后才可应用于到整个组织，总之，所使用的方法论不仅依赖于过程的性质而且也依赖于组织自身的性质。

在新的过程实现之后或旧的过程改进之后，组织应该将改进的过程作为整体考察，并且分析是否达到了最初的目标及其代价如何，教训也应该被收集、分析和归档以备将来的过程改进实践使用。这也是SSE-CMM的一个必须的步骤。

必须强调安全工程是一个独特的科目，需要独特的知识、技能和过程来创建一个专用于安全工程的CMM。这与安全工程将在系统工程方式下进行并不冲突。事实上，有明确定义和易于接受的活动可以使安全工程能够在各种情况下更有效地加以实施。

现代统计过程控制理论表明通过强调生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品。对于安全系统和可信产品的开发，如果增加所需的成本和时间，就可保证更有效的过程。安全系统的运行与维护也依赖于联系人员和技术的过程。通过强调所使用过程的质量和蕴涵在这些过程中的组织实施的成熟性，可以更低成本地管理这些相互依赖性。