10.1 概述

安全工程能力體系結構的設計是可在整個安全工程過程范圍內決定安全工程過程的能力成熟性。這個體系結構的目標是清晰地在信息系統生命周期中分離出安全工程的基本特征。為了保證這種分離，這個模型是兩維的，分別稱為“域”和“能力”，
a) 域維是由本標準中所有定義安全工程的過程組件（即安全工程過程域）構成。這些實施活動稱為“過程組件”，即“過程域”。
b) 能力維代表組織能力。這一維由信息安全管理和制度化能力構成。這些實施活動被稱作“公共特征”，可在廣泛的域中應用。執行一個公共特征是一個組織能力的標志。
通過設置這兩個相互依賴的維，安全工程能力模型在各個能力級別上覆蓋了整個安全活動范圍。
重要的是，安全工程過程能力模型并不意味著在一個組織在其信息系統生命周期的安全管理實踐中必須執行這個模型中所描述的任何過程。也不意味著執行通用實踐的專門要求。一個組織機構一般可隨意以他們所選擇的方式和次序來計劃、跟蹤、定義、控制和改進他們的過程。然而，由于一些較高級別的通用實踐依賴于較低級別的通用實踐，因此組織機構應在試圖達到較高級別之前，應首先實現較低級別通用實踐。