【文章內容簡介】 SECMM中定義，但常與 SSECMM的 11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度。167。 SSECMM將工程過程區(qū)域分為三類，即風險過程、工程過程和保證過程；? 4個風險過程： PA04評估威脅， PA05評估脆弱性， PA02評估影響， PA03評估安全風險；? 5個工程過程： PA07， PA10， PA09， PA01， PA08；? 2個保證過程： PA11， PA06；167。 并不定義各過程區(qū)域在系統(tǒng)安全工程生命周期中出現的順序，而是依照過程區(qū)域的英文字母順序編號；167。 每個過程區(qū)域包括一組集成的基本實踐（ BP， Base Practice）， BP定義了實現過程區(qū)域目標的必要活動，代表業(yè)界的最佳慣例。域維過程類域維Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本實踐Process AreasProcess AreasProcess Areas過程區(qū)工程和安全實施是 安全工程過程中必須存在的性質， 指出特殊過程區(qū)的目的并屬于該過程區(qū) 每個過程區(qū)（ PA）是一組相關安全工程過程的性質，當這些性質全部實施后則能夠達到過程區(qū)定義的目的。一組過程區(qū)指出活動的同一通用區(qū) 工程過程區(qū)域核實和確認安全（ Verify and Validate Security）PA11明確安全需求（ Specify Security Needs）PA10提供安全輸入（ Provide Security Input）PA09監(jiān)視安全態(tài)勢（ Monitor Security Posture）PA08協(xié)調安全（ Coordinate Security）PA07建立保證論據（ Build Assurance Argument)PA06評估脆弱性（ Assess Vulnerability）PA05評估威脅（ Assess Threat）PA04評估安全風險（ Assess Security Risk)PA03評估影響（ Assess Impact）PA02管理安全控制（ Administer Security Controls）PA01風險過程工程過程保證過程安全工程167。 SSECMM將安全工程劃分為三個基本的過程區(qū)域：風險，工程，保證? 風險過程 ： 是要 確定 產品或者系統(tǒng)的 危險性 ，并對這些危險性進行優(yōu)先級排序? 工程過程 ：是針對面臨的危險性，安全工程過程與相關 工程過程 一起來 確定并實施解決方案? 保證過程 ：是 建立 起對解方案的 信任 ，并把這種信任 傳達給用戶 安全工程過程保證論據 風險信息產品或服務工程過程Engineering保證過程Assurance 風險過程 Risk風險PA04：評估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風險信息PA05：評估脆弱性PA02：評估影響PA03：評估安全風險167。 風險就是有害事件發(fā)生的可能性167。 一個有害事件有三個部分組成：威脅、脆弱性和影響。 工程167。 安全工程與其它科目一樣，它是一個包括概念、設計、實現、測試、部署、運行、維護、退出的完整過程。167。 SSECMM強調 安全工程是一個大的項目隊伍中的一部分 ，需要與其它科目工程師的活動相互協(xié)調。 PA10指定安全要求需求、策略等 配置信息解決方案、指導等風險信息PA08監(jiān)視安全態(tài)勢PA07協(xié)調安全PA01管理安全控制PA09提供安全輸入保證證據證據保證論據PA11驗證和證實安全指定安全要求其他多個 PAPA06建立保證論據167。 保證是指安全需要得到滿足的信任程度167。 SSECMM的信任程度來自于安全工程過程可重復性的結果質量。 PA01管理安全控制 建立安全職責 管理安全配置 管理安全意識、培訓和教育大綱 管理安全服務及控制機制PA02評估影響 對影響進行優(yōu)先級排列 識別系統(tǒng)資產 選擇影響的度量標準 標識度量標準關系 識別和特征化影響 監(jiān)視影響PA03評估安全風險 選擇風險分析方法 識別暴露 評估暴露的風險 評估總體不確定性 風險優(yōu)先級排列 監(jiān)視風險及其特征PA04評估威脅 識別自然威脅 識別人為威脅 識別威脅的測量塊 評估威脅影響的效力 評估威脅的可能性 監(jiān)視威脅及其特征PA05評估脆弱性 選擇脆弱性分析方法 識別脆弱性 收集脆弱性數據 合成系統(tǒng)脆弱性 監(jiān)視脆弱性及其特定PA06建立保證論據 識別保證目標 定義保證策略 控制保證證據 分析證據 提供保證論據安全基本實踐PA07協(xié)調安全 定義協(xié)調目標 識別協(xié)調機制 促進協(xié)調 協(xié)調安全決定和建議PA08監(jiān)視安全態(tài)勢 分析事件記錄 監(jiān)視變化 識別安全突發(fā)事件 監(jiān)視安全防護措施 檢查安全態(tài)勢 管理安全突發(fā)事件響應 保護安全監(jiān)視的記錄數據PA09提供安全輸入 理解安全輸入要求 確定安全約束和考慮 識別安全選項 分析工程選項的安全性 提供安全工程指南 提供運行安全指南PA10指定安全要求 獲得對顧客安全需求的理解 識別可用的法律、策略和約束 識別系統(tǒng)安全關聯(lián)性 收集系統(tǒng)運行的安全思想 收集安全的高層目標 定義安全相關需求 達成安全協(xié)議PA11驗證和證實安全 識別驗證和證實的目標 定義驗證和證實方法 執(zhí)行驗證 執(zhí)行證實 提供驗證和證實的結果安全基本實踐項目及組織過程區(qū)域167。 SSECMM采用了 SECMM定義的項目和組織過程區(qū)域，這些 PA是用來解釋通用實踐的重要參考資料；167。 每個此類過程區(qū)域都包含 “安全性考慮 ”的內容，說明了應用到安全工程相關的過程區(qū)域中時需要考慮的因素，也指出了對 SSECMM過程區(qū)域的參考引用；項目和組織過程區(qū)域與供應商協(xié)調（ Coordinate with Suppliers）PA22提供持續(xù)發(fā)展的技能和知識（ Provide Ongoing Skill and Knowledge）PA21管理系統(tǒng)工程支持環(huán)境（ Manage Systems Engineering Support Environment）PA20管理產品系列進化（ Manage Product Line Evolution）PA19改進組織的系統(tǒng)工程過程（ Improve Organization’s Systems Engineering Process）PA18定義組織的系統(tǒng)工程過程（ Define Organization’s Systems Engineering Process)PA17計劃技術活動（ Plan Technical Effort）PA16監(jiān)視和控制技術活動（ Monitor and Control Technical Effort）PA15管理項目風險（ Manage Project Risk)PA14管理配置（ Manage Configuration）PA13保證質量（ Ensure Quality）PA12項目過程組織過程PA12質量保證 測量工作產品質量 測量過程質量 分析質量測量 得到參與 發(fā)起改進質量的活動 檢測修正行為要求PA13管理配置 溝通配置狀況PA14管理項目風險 標識風險 評估風險 復查風險評估 執(zhí)行風險降低活動 跟蹤風險降低活動 監(jiān)視影響PA15監(jiān)控技術活動 跟蹤項目資源 跟蹤技術參數 復查項目執(zhí)行 分析項目問題 采取修正行動PA16規(guī)劃技術活動 識別自然威脅 識別關鍵資源 估計項目范圍 估算項目費用 確定工程過程 識別技術活動 定義項目接口 開發(fā)項目進度表 設立技術參數 開發(fā)技術管理計劃 復查并認可工程計劃項目和組織的基本實踐PA17定義組織的系統(tǒng)工程過程 制定過程目標 收集過程資產 開發(fā)組織的系統(tǒng)工程過程 定義剪裁指南PA18改進組織的系統(tǒng)工程過程 評定過程 規(guī)劃過程改進 改變標準過程 溝通過程改進PA19管理產品系列進化 分析事件記錄 定義產品進化 標識新產品技術 適應開發(fā)過程 確保關鍵組件的可用性 插入產品技術PA20管理系統(tǒng)工程支持環(huán)境 維持技術認識 確定支持需求 獲得系統(tǒng)工程支持環(huán)境 剪裁系統(tǒng)工程支持環(huán)境 插入新技術 維護環(huán)境 監(jiān)視系統(tǒng)工程支持環(huán)境PA21提供不斷發(fā)展的技能和知識 識別培訓要求 選擇知識或技能的獲取模式 確保技能和知識的可用性 準備培訓材料 培訓人員 評估培訓的有效性 維護培訓記錄PA22與供應商協(xié)調 識別系統(tǒng)的組件或服務 標識勝任的供應商或銷售商 選擇供應商或銷售商 提供期望 維持溝通項目和組織的基本實踐SSECMM的使用167。 SSECMM可應用于所有從事某種形式的安全工程組織，這種應用與生命期、范圍、環(huán)境或專業(yè)無關。該模型適用于以下三種方式：? “評定 ”，允許獲取組織了解潛在項目參加者的組織層次上的安全工程過程能力。? “改進 ”，使安全工程組織獲得自身安全工程過程能力級別的認識，并不斷地改進其能力。? “保證 ”，通過有根據地使用成熟過程，增加可信產品、系統(tǒng)和服務的可信度。