实施并定义了过程的“能力”。SSE-CMM主要用于指导系统安全工程的完善和改进，使系统安全工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。 
    SSE-CMM模型是系统安全工程实施的度量标准，它覆盖了： 
    •整个生命期，包括工程开发、运行、维护和终止。 
    •管理、组织和工程活动等的组织。 
    •与其他规范如系统、软件、硬件、人的因素、测试工程、系统管理、运行和维护等规范并行的相互作用。 
    •与其他组织（包括获取、系统管理、认证、认可和评估组织）的相互作用。 
    （1）SSE-CMM的由来与发展 
    SSE-CMM起源于1993年4月。当时，美国国家安全局（NSA）对各类能力成熟度模型（CMM）的工作状况进行了研究，以判断是否需要一个专门适用于系统安全工程的CMM。在此阶段，确定了一个初步的安全工程能力成熟度模型（Security Engineering CMM），以此作为这一判断过程的开端。 
    1995年1月，美国各界信息安全人士被邀请参加第一届公开的系统安全工程CMM工作讨论会。来自60多个组织的代表肯定了这种模型的需求。由于信息安全业界的兴趣，在会议中成立了项目工作组，正式启动系统安全工程CMM开发项目。这一项目力求在原有能力成熟度模型（CMM）的基础上，通过对系统安全工程过程进行管理的途径将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科。项目工作组的首次会议在1995年3月举行。通过SSE-CMM指导组织、创作组织和应用工作组织的工作，完成了模型和认定方法的工作。1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。 
    为了验证这个模型的评估方法，从1996年6月到1997年6月进行了许多试验项目。这些试验项目为出版的模型和评估方法1.1版提供了宝贵的数据。在实验项目中，模型的第一个版本用于评估了两个大型系统集成商、两个服务供应商和一个产品供应商，实验项目涉及到为验证这个模型建立的各种组织，其中包括不同规模的组织：以契约形式推动系统开发的组织，市场驱动产品开发的组织，高层开发保证需求的组织和低层开发保证需求的组织，以及提供开发、实施和服务的组织等。 
    1997年7月，召开了第二届公开的系统安全工程CMM工作会议，这次会议主要涉及到模型的应用，特别是在采购、过程改进、产品和系统质量保证等方面的应用。这次会议的论文集可通过SSE-CMM的WEB站点上获得（http://www.sse-cmm.org）。在这次会议上，确定了需要解决的问题并成立了新的项目组织来直接解决这些问题。 
    经过多次修改，模型和相应的评估方法2.0版于1999年4月公布，在2001年ISO JTC1.SC27的年会上美国将SSE-CMM2.0版提交给国际标准化组织申请为国际标准，对应的ISO文件是：ISO/IEC DIS 21827 信息技术——系统安全工程——能力成熟度模型(SSE-CMM)(Information Technology——Systems Security Engineering——Capability Maturity Model). 
    （2）SSE-CMM的用户 
    SSE-CMM描述了一个组织的系统安全工程过程必须包含的基本特性，这些特性是完善系统安全工程的保证，也是系统安全工程实

(责任编辑：adminadmin2008)