【英语版】国际标准 ISO/IEC 21827:2008 EN 信息技术——安全技术——系统安全工程——能力成熟度模型（SSE-CMM？） Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model？ (SSE-CMM？).pdf

ISO/IEC21827:2008ENInformationtechnology--Securitytechniques--SystemsSecurityEngineering--CapabilityMaturityModel（SSE-CMM）是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的一套标准，旨在规范和评估信息系统安全工程的能力和成熟度。SSE-CMM是一个能力成熟度模型，用于指导组织在信息系统安全工程方面的实践和改进。

SSE-CMM将信息系统安全工程能力分为五个等级，从初始级（Initial）到优化级（Maturity）。每个等级都定义了组织在安全工程方面所需的基本要求和标准，包括安全策略、风险管理、漏洞管理、安全测试和评估等。

具体来说，SSE-CMM五个等级的能力要求如下：

1.初始级（Initial）：组织在这个级别上没有明确的系统安全工程实践，缺乏基本的安全知识和技能。

2.已管理级（Managed）：组织已经开始建立一些安全管理规定和实践，但缺乏系统化的安全工程方法。

3.已定义级（Defined）：组织已经定义了安全工程的基本要求和标准，包括安全策略、流程、工具和方法等。

4.量化管理级（QuantitativelyManaged）：组织通过量化的安全工程流程和方法，实现了对安全风险的有效管理和控制。

5.优化级（Optimizing）：组织通过持续的自我评估和改进，不断优化安全工程的能力和效果，确保系统始终处于安全状态。

通过实施SSE-CMM，组织可以明确自身的安全工程能力水平，发现并改进薄弱环节，提高信息系统安全性。SSE-CMM还可以帮助组织与其他组织进行比较和评估，促进信息系统的安全协作和互操作性。