1994年4月美国国家安全局与美国国防部、加拿大通信安全局一起，汇集了超过60个国内外厂商，启动了称作“安全系统工程能力成熟模型(SSE-CMM)”的项目。这一项目力求在原有能力成熟模型(CMM)的基础上，通过对安全工作过程进行管理的途径将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。1996年10月，模型第一版问世，主管单位随即选择了五家公司对模型进行了长达一年的试用，并依据试用经验，将模型进行了几次更新。1998年10月，SSE-CMM的2.0版本公布使用，稍后提交国际标准化组织申请作为国际标准。2002年，国际标准化组织正式公布了系统安全能力成熟度模型的标准，即ISO/IEC 21827-2002 《Information Technology-Systems Security Engineering-Capability Maturity Model(SSE-CMM)》。目前我国正准备将此标准转化为相对应的国家标准。

一、适用范围
    该标准适用于可信产品或系统整个生命期的安全工程活动，其中包括概念定义、需求分析、设计、开发、集成、安装、运行、维护和终止；也可用于安全产品开发者、安全系统开发者、集成商和提供安全服务和安全工程的组织机构。

二、目标读者
    SSE-CMM适用于开发者、评估者、系统集成者、系统管理者、各类安全专家等。根据目标读者的不同，可选择使用该标准已定义的一组安全工程实施过程。

三、SSE-CMM的受益群体

1、工程组织
    包括系统集成商、应用开发者、产品厂商和服务供应商。他们通过可重复和可预测的过程和实施来减少返工，他们可依此获得工程执行能力的认可，同时该标准也有利于度量一个组织的能力成熟度并持续改进。

2、采购者
    指的是接受系统、产品和服务的组织以及最终用户。他们在工作中可重复利用此标准语言和评定方法；他们据此能够降低选择不合格投标者的风险。该标准有利于相关各方面在理解标准上统一意见，有利于建立可预测和可重复级的信任度。

3、评价机构
    包括系统认证组织、系统授权组织和产品评估组织。他们能得到与系统或产品变化无关的可重复的过程评定结果，从而提高安全工程集成的信任度，减少安全评估的工作量。

四、能力级别

1、级别1－非正式执行级
    在该级别上，尽管基本实施能被执行，但基本实施的执行可能未经严格的计划和跟踪，而是有赖于个人的知识和努力。此过程区的工作产品即为基本实施执行的证据。

2、级别2－计划跟踪级
    该级别基本实施的执行是经过计划并被跟踪的。可验证关键步骤是否被执行，亦可验证工作产品是否符合指定的标准和需求。通过测量可跟踪过程区的执行情况。

3、级别3－充分定义级
    该级别的基本实施是按照充分定义的过程执行的。充分定义的过程指的是依据经批准的、正式发布的过程版本来规范运作。该版本必须文档化，且允许在实际操作中对标准过程进行适当的裁减。

4、级别4－量化控制级
    此级别是收集并分析执行的详细情况。该级别能获得对过程能力和改进能力的量化理解以预测执行结果，其管理是客观的，工作产品的质量是量化的。

5、级别5－持续改进级
    该级别基于组织的商务目标并针对过程有效性和效率建立量化执行目标。通过执行已定义的过程以及新术语、新技术的量化反馈来保证对这些目标持续改进。

五、安全工程过程
    它是信息安全服务能力最核心的部分，体现着一个服务提供组织的技术水平和信息安全工程的实力。SSE-CMM共有11个安全工程过程。

1、管理安全控制
    其目的在于保证集成到系统设计中的预期的系统安全性确实由最终系统在运行状态下达到。包括四个方面：明确安全职责、管理安全配置、管理培训教材、管理安全服务及控制机制。

2、评估影响
    目的在于识别对系统有关的影响，并对发生影响的可能性进行评估。影响可能是有形的，也可能是无形的。应对影响系统的因素进行优先级排序并实时监控影响的变化。

3、评估安全风险
    识别某一给定环境中涉及到对某一系统有依赖关系的安全风险，评估暴露的风险，对风险进行优先级排序并监视风险的变化特征。

4、评估威胁
    目的是对系统安全的威胁和特征进行识别并标识，评估威胁的影响，并监视威胁的特征变化。

    SSE-CMM将安全工程的公共特征分为五个能力级别，表示依次递增的组织能力。

5、评估脆弱性
    本过程首先要识别脆弱性，收集相关证据，然后评估各种脆弱性对系统的影响,进而监视脆弱性的特征变化趋势。

6、建立保证论据
    本过程包括确定保证目标、定义保证策略、提供保证证据、控制保证论据等多个方面。

7、协调安全
   目的在于保证所有相关方都有参与安全工程的意识。这种协调工作涉及到保证所有相关组织之间的开放式交流和沟通。

8、监视安全态势
    目的在于识别出所有已发生和可能发生的安全违规，监视可能影响系统安全的内、外环境因素。

9、提供安全输入
    目的在于为系统的策划者、设计者、实施者或用户提供所需的安全信息。这些信息包括安全体系结构、安全设计和安全实施多个方面。

10、指定安全要求
    目的在于明确地识别出与系统安全相关的要求，包括顾客的要求、法律法规的要求等，并最终达成安全协议。

11、验证和证实安全性
    目的在于确保解决安全问题的办法已得到验证和证实。应该确定目标、选择方法、收集证据、执行验证并得到结论。

六、项目和组织管理过程
    它是实现安全工程过程必不可少的保证措施，主要包含以下几个方面：

1、质量保证
    它不仅指工作产品的质量，而且也包含系统工程过程的质量。应确保全员参与并及时采取纠正措施和预防措施。

2、管理配置
    目的是维持已确定的配置单元的数据和状况，并对系统及其配置单元的变化进行分析和控制。管理系统配置包括为开发者和客户提供准确的和当前的配置数据和状况

3、管理项目风险
    管理风险的目的是标识、评估、监视和降低风险。此过程要贯穿整个工程生命周期，其范围包括系统工程活动和全部技术项目活动。

4、监控技术活动
    此过程将根据项目策划、承诺和计划的文档来指导、跟踪和复查项目的完成情况、结果和风险，必要时采取适当的修正行为。

5、规划技术活动
    目的是根据项目特点建立项目实施计划，这些计划能为组织开展技术活动提供指导和参考。

6、定义系统工程过程
    目的是创建和管理组织的标准系统工程过程，这些过程允许根据具体系统工程情况做出适当的裁减。

7、改进系统工程过程
    在特定的工程环境下，根据组织对过程的理解，确定改进目标并付诸实施。

8、产品持续改进
    目的是通过引进服务、设备和新技术以达到产品、费用、进度和执行的最佳收益。

9、管理系统工程支持环境
    目的在为开发产品和执行过程提供所需的技术环境。该环境可裁减、可维护、可更新、可监视、可改进。

10、提供不断发展的技能和知识
    目的在于确保组织内拥有必要的知识和技能来达到组织的目标。此过程可以通过在组织内进行培训，也可以及时地从外部来源中获得知识。

11、与供应商协调
    目的是识别组织的需求，并采取适当的措施评价、选择合格的供应商。供应商可以是销售商、分包商、合伙人等。协调的内容可以是交付件的质量、期限等其它合同要求。

七、结束语
    中国信息安全产品测评认证中心在对信息系统和信息安全服务资质进行测评认证时，结合我国信息安全服务提供商的总体水平和安全意识，根据GB/T 18336-2001《信息技术  安全技术  信息技术安全性评估准则》和ISO/IEC 21827-2002《系统安全工程能力成熟度模型》，制定了《信息系统安全保障通用评估框架》和《信息安全服务评估准则》。它将在今后的一段时期内，指导我国信息安全产业界的产品提供商、用户以及合格评定组织的各项工作。