发布于《半导体工程》: 点击此处查看原文
作者:艾伦·韦伯
- 评估网络安全准备度并降低供应链风险
- 通过标准化评估实现合规流程优化
- 在多个客户之间建立信任并共享成果
- 遵循NIST CSF 2.0框架及行业最佳实践
SSCA的结构是怎样的?
该问卷的基本结构源自能力成熟度模型集成(CMMI)框架,该框架旨在改进并整合跨多领域的流程,例如软件开发、系统工程、系统测试乃至人员管理。它为组织的相关部分或主要主题的各个方面定义了五个不同的成熟度等级(见下图),并针对特定等级的含义给出了通用说明。
来源:维基百科
工作组3针对半导体制造供应链面临的独特网络安全挑战调整了该模型,并参照NIST网络安全框架2.0确定了六个活动领域——治理、识别、保护、检测、响应和恢复。每个领域均详细描述了组织达到特定级别所需具备的属性特征。
SSCA包含哪些内容?
SSCA以多标签电子表格形式呈现,包含说明标签页和问题标签页。部分问题为多项选择题(例如"根据所列属性,贵组织处于CMMI哪个成熟度等级?"),多数为是非题(例如"贵组织是否采用安全技术与供应商共享敏感数据?")。六大活动领域共包含165个问题。
后者已提供五种语言版本:英语、韩语、繁体中文、简体中文和日语。
我该如何获取SSCA?
点击此处并填写表格以下载SSCA。
《追忆似水年华》,还是说这早已有人做过?
不……也算是吧。
那些还记得90年代初半导体制造业状况的人会记得,最大的问题领域之一就是嵌入式设备控制和通信接口软件质量差且不稳定。 SEMATECH及其成员公司将此视为联盟聚焦的理想前竞争领域,因此制造系统部门评估了当时软件工程界的最佳实践,最终选定卡内基梅隆大学软件工程研究所的"能力成熟度模型"(CMM)。这听起来是否耳熟?
尽管当时完全采用CMM对大多数设备供应商而言尚不可及,但其中涌现的精华在于决定采用一套标准化"4-Up"图表来传达最基础的软件质量指标。这使得所有人使用相同的术语、定义和可视化技术来比较不同流程领域和时间段的进展,这对识别和解决软件问题的根本原因起到了关键作用。 典型软件质量"4-Up"图表示例如下所示。
技术项目管理