CMMI 研究院刚刚推出两门新认证课程

5 月 1-2 号，我有幸参加了 CMMI 研究院最新推出的 Building Safety Excellence 和 Building Security Excellence 两门课程的培训，由 ISACA 副总裁和 CMMI 产品主管 Ron Lear，CMMI 研究院资深专家 Kileen Harrison 和英国 CMMI 高成熟度评估师和讲师 Kieran Doyle 三名大咖联合主讲，受益匪浅。我也有望在今年成为国内首位安全和安防子模型（Sub-model)的评估师。

CMMI V2.0 模型的承诺之一，就是能够不断兼容新技术、新方法，不断进化。这两门课的推出，就是这个承诺的体现。

Building Safety Excellence 课程，只包含一个实践域, 即 Enabling Safety (ESAF，确保安全)。 这个实践域的目的和价值，是在一定的限制条件下和有限的手段内，最大限度地减少和减轻安全的风险，从而将安全危害风险降低到可接受的容忍水平。这里的安全，既包含工作场所的安全也包括开发产品的安全。

关于产品安全最典型的一个例子就是波音 737 MAX 停飞事件。2019 年 3 月 10 日，埃塞俄比亚航空一架波音 737 MAX 8 型飞机在起飞阶段坠毁，机上 157 人全数遇难。故障原因是因为攻角传感器故障和机动特性增强系统过度反应，导致飞行员与电脑导航恶性对抗，最终使得飞机失速坠毁。此后该机型飞机全面停止生产，波音 CEO 为此辞职，此事件为波音带来 56 亿美元的损失。

Building Security Excellence 课程，则包含两个实践域，Enabling Security (ESEC，确保安防)和 Managing Security Threats and Vulnerabilities (MST，管理安防威胁和漏洞)。

Enabling Security 实践域的目的和价值是，建立并不断更新安全方法，包括预测、识别和采取措施以避免或最小化安全问题对组织或解决方案的影响，从而减少安全威胁和漏洞对业务绩效的影响。

Managing Security Threats and Vulnerabilities 实践域的目的和价值是，识别可能危及组织或解决方案的安全威胁和漏洞，分析潜在影响，定义并采取措施来解决和减轻它们，从而提高组织识别、缓解威胁和漏洞，并从中恢复的能力和弹性。

这两个实践域涉及的安防，包括物理安防，过程安防和网络安防。物理安防的例子比如门禁。过程安防例如专门针对安全漏洞的设计方法和工具。网络安防例如网络安全（Cybersecurity)等等。在互联网时代，所有的设备和软件都是互联互通，确保组织内部的安全和防护，日益放在一个重要的位置上。

按照 Ron Lear 的说法，将来的 CMMI 评估以开发模型（Development）和服务模型（Service)为主模型，以安全和安防、供应商管理等为子模型（Sub-model)，企业可以采用主模型+子模型的形式来进行评估，评判自己企业的能力。例如，企业可以选择 CMMI 开发模型+安全和安防来进行评估。按照 CMMI 研究院的计划，企业最早可以在今年第四季度进行安全和安防子模型的评估。

如果您的企业涉及网络安全，或者您关注企业的安全和安防问题，那么您现在就可以准备了。

Ron Lear (左一），高山（左三），Kieran Doyle (左四），Kileen Harrison（右二）