2.SE-CMM的体系结构
SSE-CMM体系结构的设计是可用于在整个安全工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征。为了保证这种分离,这个模型是两维的,分别称为“域( Domain)”和“台邑力(Capability)”。 域维由所有定义安全工程的过程区域( Process Area)构成,能力维代表组织臼旨力,它由过程管理和制度化能力构成。这些实施活动被称作“公共特征( Common FeatureS)”,可在广泛的域中应用。能否执行某一个特定的公共特征是一个组织能力的标志。
通过设置这两个相互依赖的维,SSE-CMM在各个能力级别上覆盖了整个安全活动范围。
佣如,在下图中,“评估脆弱性”过程区域显示在横坐标中。这个过程区域代表了所有涉及到安全脆弱性评估的实施活动,这些实施活动是安全风险过程的一部分。 “跟踪执行” 公共特征显示在纵坐标上,它代表了一组涉及到测量的实施活动。这些测量相对于可用计划的过程实施活动。
因此,过程区域和公共特征的交叉点表示组织跟踪执行脆弱性评估过程的能力。图中每一个方框表示一个组织执行一些安全工程过程的能力。通过这种方式收集安全组织的信息,可以建立执行安全工程能力的能力轮廓。