2.SE-CMM的體系結(jié)構(gòu)

SSE-CMM體系結(jié)構(gòu)的設(shè)計(jì)是可用于在整個(gè)安全工程范圍內(nèi)決定安全工程組織的成熟性。這個(gè)體系結(jié)構(gòu)的目標(biāo)是清晰地從管理和制度化特征中分離出安全工程的基本特征。為了保證這種分離，這個(gè)模型是兩維的，分別稱(chēng)為“域( Domain)”和“臺(tái)邑力（Capability）”。 域維由所有定義安全工程的過(guò)程區(qū)域( Process Area)構(gòu)成，能力維代表組織臼旨力，它由過(guò)程管理和制度化能力構(gòu)成。這些實(shí)施活動(dòng)被稱(chēng)作“公共特征( Common FeatureS)”，可在廣泛的域中應(yīng)用。能否執(zhí)行某一個(gè)特定的公共特征是一個(gè)組織能力的標(biāo)志。

通過(guò)設(shè)置這兩個(gè)相互依賴(lài)的維，SSE-CMM在各個(gè)能力級(jí)別上覆蓋了整個(gè)安全活動(dòng)范圍。

傭如，在下圖中，“評(píng)估脆弱性”過(guò)程區(qū)域顯示在橫坐標(biāo)中。這個(gè)過(guò)程區(qū)域代表了所有涉及到安全脆弱性評(píng)估的實(shí)施活動(dòng)，這些實(shí)施活動(dòng)是安全風(fēng)險(xiǎn)過(guò)程的一部分。 “跟蹤執(zhí)行” 公共特征顯示在縱坐標(biāo)上，它代表了一組涉及到測(cè)量的實(shí)施活動(dòng)。這些測(cè)量相對(duì)于可用計(jì)劃的過(guò)程實(shí)施活動(dòng)。

因此，過(guò)程區(qū)域和公共特征的交叉點(diǎn)表示組織跟蹤執(zhí)行脆弱性評(píng)估過(guò)程的能力。圖中每一個(gè)方框表示一個(gè)組織執(zhí)行一些安全工程過(guò)程的能力。通過(guò)這種方式收集安全組織的信息，可以建立執(zhí)行安全工程能力的能力輪廓。