我們知道系統(tǒng)安全工程是基于系統(tǒng)工程的一套科學(xué)的方法論。該方法論涵蓋了組織做安全管理所涉及的過程、步驟和方法。每個(gè)組織在執(zhí)行具體的安全管理過程中，也會(huì)結(jié)合組織現(xiàn)有需要解決的實(shí)際安全問題和組織當(dāng)前的管理成熟度來具體詮釋系統(tǒng)安全工程在特定組織的落地方法。

  由于不同組織執(zhí)行安全管理的執(zhí)行力和資源投入是不同的，我們需要一個(gè)標(biāo)準(zhǔn)化的評(píng)估體系來客觀和全面地評(píng)價(jià)一個(gè)組織在實(shí)施系統(tǒng)安全的能力成熟度。SE-CMM就是用來進(jìn)行系統(tǒng)安全工程能力成熟度評(píng)估的模型。

  SSE-CMM模型描述了一個(gè)組織的系統(tǒng)安全工程過程必須包含的公共特征，這些公共特征是證明組織在實(shí)施安全工程的保證證明，也可以作為測試特定組織在實(shí)施系統(tǒng)安全工程的度量（測評(píng)）標(biāo)準(zhǔn)?；诿總€(gè)提供系統(tǒng)安全產(chǎn)品、服務(wù)或解決方案的系統(tǒng)安全工程實(shí)施方，我們都可以基于SSE-CMM模型標(biāo)準(zhǔn)來對(duì)其實(shí)施能力進(jìn)行合理判斷。這樣，系統(tǒng)安全工程的獲取組織（也就是甲方）可以降低選擇不合規(guī)安全供應(yīng)商的風(fēng)險(xiǎn)。SSE-CMM模型對(duì)于安全工程的實(shí)施組織（也就是乙方）也是有好處的，其所獲得的SSE-CMM成熟度等級(jí)是安全實(shí)施能力的有利佐證。SSE-CMM模型所要求的公共特征為安全工程實(shí)施組織明確了其當(dāng)下和未來的改進(jìn)方向。

   SSE-CMM模型是一個(gè)兩維的評(píng)價(jià)模型，分別稱為“域維”和“能力維”。SSE-CMM模型的第一個(gè)維度是域維。域維包括很多過程域（Process Area,PA）,每個(gè)過程域都包括一組基本實(shí)踐（Base Practice,BP）。我們可以認(rèn)為基本實(shí)踐是為了實(shí)現(xiàn)特定過程域目標(biāo)的必要步驟，而且這些步驟是強(qiáng)制實(shí)施的。SSE-CMM模型的第二個(gè)維度是能力維，能力維一般是5級(jí)，這與軟件開發(fā)成熟度模型CMM的能力成熟度評(píng)級(jí)標(biāo)準(zhǔn)相一致。安全工程的實(shí)施組織所能評(píng)到的能力級(jí)別，與該組織所擁有的針對(duì)不同級(jí)別所必須具有的公共特征直接相關(guān)。我們可以針對(duì)域維中過程域進(jìn)行能力級(jí)別評(píng)估，不同能力級(jí)別會(huì)強(qiáng)制要求具備必要的公共特征。比如一個(gè)過程域如果要評(píng)為三級(jí)的話，其所對(duì)應(yīng)的公共特征描述為“針對(duì)該過程域的基本實(shí)踐是已經(jīng)充分定義的標(biāo)準(zhǔn)過程，過程已經(jīng)被制度化，確保重復(fù)執(zhí)行該過程可以達(dá)成一致性的（同樣的）效果”。

  SSE-CMM的測評(píng)舉例如下?：

  我們可以針對(duì)安全工程實(shí)施組織的多個(gè)過程域進(jìn)行測評(píng)，測評(píng)的結(jié)果可以基于木桶定律來綜合評(píng)分。也就是一個(gè)組織的安全工程實(shí)施能力以其打分最少的過程域來計(jì)量其成熟度級(jí)別。比如某個(gè)安全工程實(shí)施組織被測了5個(gè)過程域，其中4個(gè)過程域的評(píng)級(jí)為3級(jí)，有1個(gè)過程域的評(píng)級(jí)為1級(jí)。那么，該組織的SSE-CMM評(píng)級(jí)為1級(jí)。

  總之，SSE-CMM模型是一套可以用來檢驗(yàn)系統(tǒng)安全工程實(shí)施成熟度的方法論，無論是對(duì)于安全工程獲取組織（甲方）、安全工程實(shí)施組織（乙方）和第三方測評(píng)機(jī)構(gòu)都有其現(xiàn)實(shí)的意義。我們可以把SSE-CMM模型與我們所熟知的CMM模型進(jìn)行橫向比較學(xué)習(xí)，獲得更多意想不到的收獲。