【英语版】国际标准 ISO/IEC 21827:2008 EN 信息技术 安全技术 系统安全工程 能力成熟度模型（SSE-CMM？） Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model？ (SSE-CMM？).pdf

ISO/IEC21827:2008ENInformationtechnology—Securitytechniques—SystemsSecurityEngineering—CapabilityMaturityModel（SSE-CMM）是一个国际标准，用于评估和改进组织在信息系统安全工程方面的能力成熟度。它提供了一个框架，用于组织识别、评估、改进和监控其安全工程过程的有效性，以确保组织能够更好地应对信息安全风险和挑战。

SSE-CMM定义了五个能力等级，从初级的“初始级”到最高级的“优化级”。每个等级都包含了特定的要求和关键实践，以表明组织在安全工程方面的能力水平和成熟度。

*初始级：这个级别代表了最开始的安全工程实施阶段。组织可能没有明确的安全工程过程，或者只是简单地遵循一些基本的安全最佳实践。

*已管理级：在这个级别，组织已经开始建立和实施一些安全工程过程，包括风险管理、漏洞管理、配置管理等。这些过程通常有明确的规定和文档记录。

*已定义级：在这个级别，组织已经对其安全工程过程进行了详细的定义和文档记录，包括如何进行风险评估、安全审计、安全培训等。同时，组织也注重过程改进和持续监控。

*定量管理级：在这个级别，组织不仅注重过程的定义和文档记录，还通过使用度量和分析工具来监控和管理安全工程过程。这有助于识别和解决潜在的风险和问题。

*优化级：最高级的“优化级”。在这个级别，组织已经实现了持续的、系统的过程改进，并且能够灵活地应对不断变化的安全威胁和挑战。这个级别要求组织在安全工程过程中注重创新和实验，以及持续的安全工程培训和知识共享。

通过评估组织的SSE-CMM等级，可以了解其安全工程能力的现状和潜力，并提供相应的建议和指导，以帮助组织不断提升其安全工程能力。