信息技術系統(tǒng)安全工程能力成熟度模型概念

1、附錄A（資料性附錄）能力成熟度模型概念A.1概述這一章的目的是綜述?SSE-CMM中使用的概念和結(jié)構。 其中給出關于指導SSE-CMM設計的需求信息、體系結(jié)構描述， 還有一條介紹一些有助于理解該模型的關鍵概念和術語。這一章充當?shù)? 章中模型詳細討論的前導。?提供了一種團體范圍（政府和行業(yè)）標準衡量尺度，用于建立安全工程并且引導它成為一 SSE-CMM門成熟的可度量的學科。對于那些將遭遇硬件、軟件、系統(tǒng)、企業(yè)安全問題的工程工作，模型及其評價方法確保安全性成為整個工程工作的有機組成部分。 該模型定義了安全工程過程的特征。 這種安全工程過程在所有工程工作類型中明確加以定義、管理、測量和控制，并且在其

2、中發(fā)揮作用。A.2過程改進過程是針對給定目的執(zhí)行的一系列步驟。它是任務、 支持工具以及介入生產(chǎn)和某些最終結(jié)果（例如產(chǎn)品、系統(tǒng)、或服務）發(fā)展演變的人員構成系統(tǒng)。認識到過程是產(chǎn)品成本、進度和質(zhì)量（涉及到人和技術）的決定因素之一， 因此各種工程團體都已經(jīng)開始把他們的關注焦點投放到改進他們的生產(chǎn)產(chǎn)品和服務的過程上。過程能力指的是組織的潛力。 它是組織可望達到的一個范圍。過程性能是對某特定項目實際執(zhí)行結(jié)果的測量，它可能在上述范圍內(nèi)也可能在這個范圍以外。“在某制造廠里， 某經(jīng)理觀察某條生產(chǎn)線的問題。他發(fā)現(xiàn)人們在生產(chǎn)線上制造了大量有缺陷的制品，他的第一傾向也許是以這些工人太辛苦、太快作為辯解理由。 但是實際

3、上， 他收集了數(shù)據(jù)并繪制出缺陷制品所占百分比。所繪制的圖形表明，缺陷制品的數(shù)量和每天的變化率是可以預計的?！贝髅?86這個例子說明一個處于統(tǒng)計過程控制中的系統(tǒng)。也就是說， 它的能力限定在特定范圍內(nèi)，并且能力變化的極限值是可以預計的。 存在一個會產(chǎn)生缺陷制品的穩(wěn)定的系統(tǒng)。這個例子說明， 把系統(tǒng)置于統(tǒng)計過程控制下并不意味著沒有缺陷制品。然而， 它表明以大致相同的方法重復工作將生產(chǎn)出大致相同的結(jié)果。重要之點在于， 為了找到可以有效實施改進之處，需要建立過程的統(tǒng)計控制。許多組織已經(jīng)使用?CMM作為指南來協(xié)助他們實現(xiàn)統(tǒng)計過程控制。另一概念，過程成熟度，指出某特定過程明確定義、管理、測量、控制和有效的程度

4、。過程成熟度意味著能力成長的潛力，并且指出組織過程的豐富程度以及在整個組織應用的一致程度。戴明（ Deming）與日本人合作把統(tǒng)計過程控制的概念應用到工業(yè)活動中。在軟件過程特征化：成熟框架中，瓦茨·漢弗萊（Watts Humphrey）描述了一個軟件過程成熟度框架。該框架就軟件開發(fā)過程解釋了戴明（ Deming）的成就。漢弗萊（ Humphrey）聲言：“盡管（應用領域之間）存在重要區(qū)別，但是這些概念就像它們適用于汽車、照相機、 手表和鋼鐵領域一樣，也適用于軟件領域。處于統(tǒng)計控制下的軟件開發(fā)開發(fā)過程在預定的成本、進度和質(zhì)量限制范圍內(nèi)將得到所希望的結(jié)果。”通過把統(tǒng)計過程控制下的軟件開發(fā)

5、過程，漢弗萊（ Humphrey）描述了幾個過程成熟度等級。這些等級引導組織以較小的遞增步驟不斷改進他們的過程能力，他描述的這些成熟度等級成為SEI 的軟件?CMM的基礎。?效率低下的特別狀態(tài)到高度結(jié)構化的高效率狀態(tài)的發(fā)展框架。CMM是工程組織從一個缺乏組織性的、組織把這種模型作為一種手段，把組織的實踐行為帶到統(tǒng)計過程控制下，從而不斷提高組織的過程能力。?生產(chǎn)率、 進度和質(zhì)量方面的滿意結(jié)果。作為對軟件應用 CMM的結(jié)果， 許多軟件組織已經(jīng)顯示了在成本、?按預期開發(fā)。 統(tǒng)計過程控制概念在安全工程中的應用將促進安全系統(tǒng)和可信產(chǎn)品在預期的成本、 SSE-CMM進度和質(zhì)量限制范圍內(nèi)開發(fā)。A.3預期結(jié)果

6、基于軟件和其他行業(yè)的類似情況，可以預計過程和產(chǎn)品改進的一些結(jié)果。這些在下面討論。改進可預計性作為組織成熟度第一項預期改進是可預計性。隨著能力增長， 各個項目的目標結(jié)果和實際結(jié)果之間的差別將相應降低。例如， 處于等級 1 的組織往往在很大的范圍內(nèi)錯過他們最初規(guī)定的交付日期，而那些處于比較高的成熟度等級的組織應該能夠預計項目的成本開銷和進度，并且預計準確度將隨著成熟度等級的增高而增高。改進控制作為組織成熟度第二項預期改進是控制。 隨著過程能力增長， 可以把漸次增加的結(jié)果用于建立經(jīng)過修改的更準確目標。 可以根據(jù)該過程和其他項目過程結(jié)果的經(jīng)驗評價各種糾正措施， 以便選擇應用最佳的控制措施。因此，能力成

7、熟度較高的組織，在可接受的范圍內(nèi)，它對性能的控制也更有效。改進過程有效性作為組織成熟度第三項預期改進是過程有效性。目標結(jié)果將隨著組織成熟程度的增長而改進。隨著組織趨于成熟，它的成本將降低，開發(fā)時間將縮短，生產(chǎn)率和質(zhì)量將提高。在處于等級1 的組織中，可能由于糾正錯誤而必須執(zhí)行的返工量很大而導致開發(fā)時間很長。相反，具有較高成熟程度的組織可以通過提高過程效率和減少返工，縮短全部開發(fā)時間。A.4常見誤解下面的陳述反映了一些有礙于?使用的共同之點。本節(jié)旨在澄清這些常見誤解。CMM? 定義工程過程一個帶常見錯誤概念是：“ CMM?定義具體過程”實際上，組織定義他們自己的過程，然后改進這些?過程，而 CMM

8、是開展這些活動的指南。這個指南的適用性與所執(zhí)行的具體過程無關。CMM描述的是，為了有助于定義、管理、監(jiān)視和改進組織的過程必須執(zhí)行“什么”活動，而不是描述必須“如何”具體執(zhí)行這些特定的活動。針對特定學科的?CMM，例如SSE-CMM，要求必須實現(xiàn)一定的基礎工程活動作為相應學科的工程過程的一部分，但是它們沒有規(guī)定這些工程活動必須“如何”具體執(zhí)行。?所依據(jù)的基本原理是使工程組織能夠開發(fā)出對它們最有效的工程過程并且不斷改進這些過程。CMM為此需要以下基本能力：定義工程過程、把它們形成文檔的實施管理，并且使整個組織的過程標準化。這種原理并不聚焦于任何特定的開發(fā)生存周期、組織結(jié)構、工程技術。A.4.2?C

9、MM是手冊或培訓指南?CMM旨在指導組織改善它們執(zhí)行特定過程（例如安全工程）的能力。CMM不是那些幫助個人改善其工程技能的手冊或培訓指南。目標是使一個組織接受?CMM中描述的原理和使用CMM中描述的技術作為指導和改進工程過程的指南。A.4.3?SSE-CMM是產(chǎn)品評價的替代物?（實施評價或認證的）第三對照 CMM作出的組織等級評定不可能替代產(chǎn)品評價或系統(tǒng)認證。不過，方在進行分析時可以適當關注那些已經(jīng)通過?CMM評價指出其薄弱之處的領域。把過程置于統(tǒng)計過程控制下并不意味著不存在缺陷。 實際上， 這樣做是提高對缺陷的可預計性，因此一些分析形式的抽樣仍然是必要的。任何可能從使用?SEI 的軟件?SS

10、M-CMM中得到的收益都基于對CMM使用經(jīng)驗的解釋，為了聲明?如同在 SEI 軟SSE-CMM對評價和認證有貢獻， 安全工程團體需要就安全工程要什么成熟程度達成一致。?SSE-CMM?在本團體中的持續(xù)使用不斷加以研究。件 CMM所做的那樣，這類聲明需要隨著A.4.4要求文檔編制太多?閱讀 CMM，很容易被其中隱含的過量的過程和計劃淹沒。CMM包含許多關于使過程和規(guī)程文檔化并且確保這些過程和程序文檔得到執(zhí)行的要求。盡管?中調(diào)用大量過程、計劃和其他類型的文檔，但CMM是并不指定要編制的文檔和數(shù)量。也許一份安全計劃就滿足許多過程域的要求。?只指出所要形成的CMM信息類型。A.5關鍵概念A.5.1引言

11、本文檔介紹的術語和概念在?SSE-CMM中的特定含義。本條詳細說明的一些概念對于恰當理解、解?，在與之釋和使用 SSE-CMM很關鍵。有些概念是專門針對這類模型的，如“通用實踐”和“基本實踐”有關的各個模型描述章條中定義和討論。本條討論的概念是：組織項目系統(tǒng)工作產(chǎn)品客戶過程過程域角色獨立性過程能力制定化過程管理能力成熟度模型A.5.2組織和項目organization and project?organization）和項目（ project）。SSE-CMM中使用的與組織結(jié)構里的用法不同兩個術語是組織（業(yè)務實體里還有其他結(jié)構，例如團隊（team）, 但是還沒有在所有業(yè)務背景里普遍接受的術語。

12、選擇這兩個術語是因為?/ 理解它們。SSE-CMM的大部分預期讀者普遍使用A.5.2.1組織organization就 SSE-CMM?而言，組織定義為公司里的一個單位、整個公司或其他實體（例如，政府機構或服務部門），它負責監(jiān)管多個項目。一個組織內(nèi)的所有項目一般都共享頂層報告結(jié)構上的公共策略。一個組織的各個項目和支持性基礎設施可能共處一地也可能分散在各處。項目project項目是工作和其他資源的匯聚點，它關注的是開發(fā)和（或）維護某個特定產(chǎn)品或提供某項服務。品可能包括硬件、軟件和其他構件。一般，一個項目有它自己的資金投入、成本核算和交付進度。項目可能構成它自己組織實體，也可能以團隊、 特別任務組

13、或其他實體形式組建，由組織用于產(chǎn)生產(chǎn)品或提供服務。產(chǎn)?范疇內(nèi)的過程域劃分為工程、項目和組織三類。組織和項目類一般按擁有關系區(qū)分。SSE-CMMSSE-CMM?對項目和組織類的區(qū)分是：把項目定義為關注特定產(chǎn)品的，對于組織類，則強調(diào)包含一個或多個項目。系統(tǒng)system在 SSE-CMM?中，系統(tǒng)指的是：人員、產(chǎn)品、服務和為滿足需要或目標提供能力的過程等的綜合體MIL-STD-499B;構成某個單一復雜整體的若干事物或組成部分的組合體（例如，組織起來完成某個或某組特定功能的構件集合） ；從功能角度考慮的各個元素的互動組合。一個系統(tǒng)可能是某個產(chǎn)品，他可能是純粹的硬件、硬件/ 軟件組合、純粹的軟件，也可

14、能是一項服務。在整個模型中，術語“系統(tǒng)”用于指出將要交付給客戶或用戶的產(chǎn)品的總和。如果把某產(chǎn)品看成系統(tǒng)，是認為需要按照某種規(guī)范地系統(tǒng)化的方法來處理產(chǎn)品的所有元素及其接口，以便實現(xiàn)正在開發(fā)產(chǎn)品的業(yè)務實體的全部成本、進度和性能（包括安全）目標。SSE-CMM?中術語“客戶”的概念和用途設計客戶的整體概念，即包工作產(chǎn)品work product工作產(chǎn)品是執(zhí)行任何過程生成的所有文檔、報告、文卷、數(shù)據(jù)等，?SSE-CMM沒有針對每個過程域一一列出各個工作產(chǎn)品，而是給出特定基本實踐的“工作產(chǎn)品示例”，用于進一步說明基本管理的范圍。所列出的案例只是說明性的，用于反映組織和產(chǎn)品背景的范圍。他們不是“強制性的”工

15、作產(chǎn)品。客戶customer客戶是接受所開發(fā)的產(chǎn)品或所提交的服務的個人或?qū)嶓w，是使用該產(chǎn)品或服務的個人或?qū)嶓w。在? 背景中，客戶既可以是協(xié)議的也可以是非協(xié)議的。協(xié)議客戶是指按其提出的規(guī)范就某SSE-CMM個或某組特定產(chǎn)品的生產(chǎn)與另一個實體簽訂合同的個人或?qū)嶓w。非協(xié)議客戶， 或市場驅(qū)動的客戶，是對某產(chǎn)品有現(xiàn)實需要或意識到的需要的眾多個人或?qū)嶓w的一個。股份可代理， 例如營銷部門或產(chǎn)品集中部門，也可以代表客戶。在大部分情況下，SSE-CMM?按照語法習慣以單數(shù)形式使用術語customer （客戶）。然而， SSE-CMM?并不排斥多個客戶的情況。注意，在 SSE-CMM?背景下，使用產(chǎn)品或服務的個人

16、或?qū)嶓w也在客戶概念范圍內(nèi)。在協(xié)議客戶情況下與此有關， 因為接受所交付的產(chǎn)品或服務的個人或?qū)嶓w并不總是將實際使用的該產(chǎn)品或服務的個人或?qū)嶓w。考慮到安全工程功能的責任，括用戶。過程process過程是為實現(xiàn)給定目的而執(zhí)行的一系列活動。這些活動可以反復地、循序地和（或）并行地執(zhí)行。一些活動可以將輸入工作產(chǎn)品轉(zhuǎn)換為其他活動需要的輸出工作產(chǎn)品。 所執(zhí)行的活動的可能序列受到輸入工作產(chǎn)品和資源的可用性的限制， 并且由管理者控制。 妥善定義的過程包括活動、 每個活動的輸入和輸出制品、以及控制活動執(zhí)行的機制。SSE-CMM?中提及的過程類型包括“已定義”的和“已執(zhí)行”的。已定義過程是組織正式描述的或者由組織的安

17、全工程師描述提供組織使用的。例如，這種描述可以包含在某個文檔里或者放置在過程資產(chǎn)數(shù)據(jù)庫里。 已定義過程是支持組織的安全工程師展開工作的過程。已執(zhí)行過程是安全工程師實際開展工作的過程。過程域process area過程域（ PA）是一組已定義的、相關的安全工程過程特征，這些特征在一起實施時，可以達到規(guī)定的目的。過程域由基本實踐組成。這些基本實踐是強制性特征，一個組織只有使它已實施的安全工程過程里具備這些基本管理， 它才可以聲明滿足了某給定的過程與要求。 這些概念在定義模型體系結(jié)構的章節(jié)里進一步展開。角色獨立性role independenceSSE-CMM?的過程域是按組實踐的，并且合在一起實踐

18、以實現(xiàn)某個共同的目的。但是，這種分組并不意味著過程域的所有基本實踐必須由一個人或一個角色執(zhí)行。所有基本實踐都以動 - 賓格式（即不帶具體主體）書寫，從而使某個實踐 “屬于” 某特定角色的意識被盡量弱化。 這是模型采用的一種造句方法，它支持模型在廣泛的組織背景范圍里使用。過程能力process capability過程能力定義為可以量化的預期結(jié)果的范圍；通過遵循該過程可能得到這個范圍里的結(jié)果。?SSAM可SEE-CMM評價方法（ SSAM）的基礎是系統(tǒng)過程控制概念；按照這種概念定義過程能力的使用。以用來確定項目或組織內(nèi)每個過程的能力等級。?SSE-CMM的能力維反映這些概念并且為改進在SSE-CMM的域維中提到的安全工程實踐行為的過程能力提供指南。組織的過程能力有助于預測項目滿足目標的能力。在低能力的組織里， 項目在實現(xiàn)成本、進度、 功能和質(zhì)量目標方面的變動范圍很大。制度化institutionalization制度化是構筑建立各種方法、 實踐和規(guī)程的基礎設施和社團文化的過程； 即