【文章內(nèi)容簡介】 SECMM中定義，但常與 SSECMM的 11個工程過程區(qū)域一起用來度量系統(tǒng)安全隊伍的過程能力成熟度。167。 SSECMM將工程過程區(qū)域分為三類，即風(fēng)險過程、工程過程和保證過程；? 4個風(fēng)險過程： PA04評估威脅， PA05評估脆弱性， PA02評估影響， PA03評估安全風(fēng)險；? 5個工程過程： PA07， PA10， PA09， PA01， PA08；? 2個保證過程： PA11， PA06；167。 并不定義各過程區(qū)域在系統(tǒng)安全工程生命周期中出現(xiàn)的順序，而是依照過程區(qū)域的英文字母順序編號；167。 每個過程區(qū)域包括一組集成的基本實踐（ BP， Base Practice）， BP定義了實現(xiàn)過程區(qū)域目標(biāo)的必要活動，代表業(yè)界的最佳慣例。域維過程類域維Base PracticesBase PracticesBase PracticesBase PracticesBase Practices基本實踐Process AreasProcess AreasProcess Areas過程區(qū)工程和安全實施是 安全工程過程中必須存在的性質(zhì)， 指出特殊過程區(qū)的目的并屬于該過程區(qū) 每個過程區(qū)（ PA）是一組相關(guān)安全工程過程的性質(zhì)，當(dāng)這些性質(zhì)全部實施后則能夠達到過程區(qū)定義的目的。一組過程區(qū)指出活動的同一通用區(qū) 工程過程區(qū)域核實和確認安全（ Verify and Validate Security）PA11明確安全需求（ Specify Security Needs）PA10提供安全輸入（ Provide Security Input）PA09監(jiān)視安全態(tài)勢（ Monitor Security Posture）PA08協(xié)調(diào)安全（ Coordinate Security）PA07建立保證論據(jù)（ Build Assurance Argument)PA06評估脆弱性（ Assess Vulnerability）PA05評估威脅（ Assess Threat）PA04評估安全風(fēng)險（ Assess Security Risk)PA03評估影響（ Assess Impact）PA02管理安全控制（ Administer Security Controls）PA01風(fēng)險過程工程過程保證過程安全工程167。 SSECMM將安全工程劃分為三個基本的過程區(qū)域：風(fēng)險，工程，保證? 風(fēng)險過程 ： 是要 確定 產(chǎn)品或者系統(tǒng)的 危險性 ，并對這些危險性進行優(yōu)先級排序? 工程過程 ：是針對面臨的危險性，安全工程過程與相關(guān) 工程過程 一起來 確定并實施解決方案? 保證過程 ：是 建立 起對解方案的 信任 ，并把這種信任 傳達給用戶 安全工程過程保證論據(jù) 風(fēng)險信息產(chǎn)品或服務(wù)工程過程Engineering保證過程Assurance 風(fēng)險過程 Risk風(fēng)險PA04：評估威脅威脅信息threat脆弱性信息vulnerability影響信息impact風(fēng)險信息PA05：評估脆弱性PA02：評估影響PA03：評估安全風(fēng)險167。 風(fēng)險就是有害事件發(fā)生的可能性167。 一個有害事件有三個部分組成：威脅、脆弱性和影響。 工程167。 安全工程與其它科目一樣，它是一個包括概念、設(shè)計、實現(xiàn)、測試、部署、運行、維護、退出的完整過程。167。 SSECMM強調(diào) 安全工程是一個大的項目隊伍中的一部分 ，需要與其它科目工程師的活動相互協(xié)調(diào)。 PA10指定安全要求需求、策略等 配置信息解決方案、指導(dǎo)等風(fēng)險信息PA08監(jiān)視安全態(tài)勢PA07協(xié)調(diào)安全PA01管理安全控制PA09提供安全輸入保證證據(jù)證據(jù)保證論據(jù)PA11驗證和證實安全指定安全要求其他多個 PAPA06建立保證論據(jù)167。 保證是指安全需要得到滿足的信任程度167。 SSECMM的信任程度來自于安全工程過程可重復(fù)性的結(jié)果質(zhì)量。 PA01管理安全控制 建立安全職責(zé) 管理安全配置 管理安全意識、培訓(xùn)和教育大綱 管理安全服務(wù)及控制機制PA02評估影響 對影響進行優(yōu)先級排列 識別系統(tǒng)資產(chǎn) 選擇影響的度量標(biāo)準(zhǔn) 標(biāo)識度量標(biāo)準(zhǔn)關(guān)系 識別和特征化影響 監(jiān)視影響PA03評估安全風(fēng)險 選擇風(fēng)險分析方法 識別暴露 評估暴露的風(fēng)險 評估總體不確定性 風(fēng)險優(yōu)先級排列 監(jiān)視風(fēng)險及其特征PA04評估威脅 識別自然威脅 識別人為威脅 識別威脅的測量塊 評估威脅影響的效力 評估威脅的可能性 監(jiān)視威脅及其特征PA05評估脆弱性 選擇脆弱性分析方法 識別脆弱性 收集脆弱性數(shù)據(jù) 合成系統(tǒng)脆弱性 監(jiān)視脆弱性及其特定PA06建立保證論據(jù) 識別保證目標(biāo) 定義保證策略 控制保證證據(jù) 分析證據(jù) 提供保證論據(jù)安全基本實踐PA07協(xié)調(diào)安全 定義協(xié)調(diào)目標(biāo) 識別協(xié)調(diào)機制 促進協(xié)調(diào) 協(xié)調(diào)安全決定和建議PA08監(jiān)視安全態(tài)勢 分析事件記錄 監(jiān)視變化 識別安全突發(fā)事件 監(jiān)視安全防護措施 檢查安全態(tài)勢 管理安全突發(fā)事件響應(yīng) 保護安全監(jiān)視的記錄數(shù)據(jù)PA09提供安全輸入 理解安全輸入要求 確定安全約束和考慮 識別安全選項 分析工程選項的安全性 提供安全工程指南 提供運行安全指南PA10指定安全要求 獲得對顧客安全需求的理解 識別可用的法律、策略和約束 識別系統(tǒng)安全關(guān)聯(lián)性 收集系統(tǒng)運行的安全思想 收集安全的高層目標(biāo) 定義安全相關(guān)需求 達成安全協(xié)議PA11驗證和證實安全 識別驗證和證實的目標(biāo) 定義驗證和證實方法 執(zhí)行驗證 執(zhí)行證實 提供驗證和證實的結(jié)果安全基本實踐項目及組織過程區(qū)域167。 SSECMM采用了 SECMM定義的項目和組織過程區(qū)域，這些 PA是用來解釋通用實踐的重要參考資料；167。 每個此類過程區(qū)域都包含 “安全性考慮 ”的內(nèi)容，說明了應(yīng)用到安全工程相關(guān)的過程區(qū)域中時需要考慮的因素，也指出了對 SSECMM過程區(qū)域的參考引用；項目和組織過程區(qū)域與供應(yīng)商協(xié)調(diào)（ Coordinate with Suppliers）PA22提供持續(xù)發(fā)展的技能和知識（ Provide Ongoing Skill and Knowledge）PA21管理系統(tǒng)工程支持環(huán)境（ Manage Systems Engineering Support Environment）PA20管理產(chǎn)品系列進化（ Manage Product Line Evolution）PA19改進組織的系統(tǒng)工程過程（ Improve Organization’s Systems Engineering Process）PA18定義組織的系統(tǒng)工程過程（ Define Organization’s Systems Engineering Process)PA17計劃技術(shù)活動（ Plan Technical Effort）PA16監(jiān)視和控制技術(shù)活動（ Monitor and Control Technical Effort）PA15管理項目風(fēng)險（ Manage Project Risk)PA14管理配置（ Manage Configuration）PA13保證質(zhì)量（ Ensure Quality）PA12項目過程組織過程PA12質(zhì)量保證 測量工作產(chǎn)品質(zhì)量 測量過程質(zhì)量 分析質(zhì)量測量 得到參與 發(fā)起改進質(zhì)量的活動 檢測修正行為要求PA13管理配置 溝通配置狀況PA14管理項目風(fēng)險 標(biāo)識風(fēng)險 評估風(fēng)險 復(fù)查風(fēng)險評估 執(zhí)行風(fēng)險降低活動 跟蹤風(fēng)險降低活動 監(jiān)視影響PA15監(jiān)控技術(shù)活動 跟蹤項目資源 跟蹤技術(shù)參數(shù) 復(fù)查項目執(zhí)行 分析項目問題 采取修正行動PA16規(guī)劃技術(shù)活動 識別自然威脅 識別關(guān)鍵資源 估計項目范圍 估算項目費用 確定工程過程 識別技術(shù)活動 定義項目接口 開發(fā)項目進度表 設(shè)立技術(shù)參數(shù) 開發(fā)技術(shù)管理計劃 復(fù)查并認可工程計劃項目和組織的基本實踐PA17定義組織的系統(tǒng)工程過程 制定過程目標(biāo) 收集過程資產(chǎn) 開發(fā)組織的系統(tǒng)工程過程 定義剪裁指南PA18改進組織的系統(tǒng)工程過程 評定過程 規(guī)劃過程改進 改變標(biāo)準(zhǔn)過程 溝通過程改進PA19管理產(chǎn)品系列進化 分析事件記錄 定義產(chǎn)品進化 標(biāo)識新產(chǎn)品技術(shù) 適應(yīng)開發(fā)過程 確保關(guān)鍵組件的可用性 插入產(chǎn)品技術(shù)PA20管理系統(tǒng)工程支持環(huán)境 維持技術(shù)認識 確定支持需求 獲得系統(tǒng)工程支持環(huán)境 剪裁系統(tǒng)工程支持環(huán)境 插入新技術(shù) 維護環(huán)境 監(jiān)視系統(tǒng)工程支持環(huán)境PA21提供不斷發(fā)展的技能和知識 識別培訓(xùn)要求 選擇知識或技能的獲取模式 確保技能和知識的可用性 準(zhǔn)備培訓(xùn)材料 培訓(xùn)人員 評估培訓(xùn)的有效性 維護培訓(xùn)記錄PA22與供應(yīng)商協(xié)調(diào) 識別系統(tǒng)的組件或服務(wù) 標(biāo)識勝任的供應(yīng)商或銷售商 選擇供應(yīng)商或銷售商 提供期望 維持溝通項目和組織的基本實踐SSECMM的使用167。 SSECMM可應(yīng)用于所有從事某種形式的安全工程組織，這種應(yīng)用與生命期、范圍、環(huán)境或?qū)I(yè)無關(guān)。該模型適用于以下三種方式：? “評定 ”，允許獲取組織了解潛在項目參加者的組織層次上的安全工程過程能力。? “改進 ”，使安全工程組織獲得自身安全工程過程能力級別的認識，并不斷地改進其能力。? “保證 ”，通過有根據(jù)地使用成熟過程，增加可信產(chǎn)品、系統(tǒng)和服務(wù)的可信度。