Sobre o SSE-CMM é correto afirmar:

A alternativa correta é a C: Estão sendo identificadas e estudadas as métricas de processo e de segurança.

Vamos entender por que a alternativa C é a correta e por que as outras alternativas estão incorretas.

O SSE-CMM (System Security Engineering Capability Maturity Model) é um modelo de maturidade que foca na engenharia de segurança de sistemas. Ele é usado para avaliar e melhorar os processos de segurança dentro de uma organização. Um aspecto chave deste modelo é que ele não apenas descreve processos, mas também identifica e estuda métricas de processo e de segurança. Isso é essencial para medir a eficiência e a eficácia dos processos de segurança e para promover melhorias contínuas.

Analisando a alternativa C:

A alternativa C menciona que "estão sendo identificadas e estudadas as métricas de processo e de segurança," o que é verdade dentro do contexto do SSE-CMM. Esta é uma parte integral do modelo, pois permite avaliar a maturidade e a eficácia dos processos de segurança, facilitando assim melhorias contínuas.

Analisando as alternativas incorretas:

• A: A alternativa afirma que o SSE-CMM é indicado apenas para a elaboração de processos de gestão de segurança. Isso está incorreto porque o SSE-CMM abrange um escopo muito mais amplo, incluindo a avaliação, melhoria e implementação de processos de segurança, não se limitando apenas à gestão.
• B: Esta alternativa afirma que o SSE-CMM descreve todas as características dos processos de segurança mas não define níveis de maturidade para os processos. Isso é incorreto porque o SSE-CMM, de fato, define níveis de maturidade, permitindo que as organizações avaliem e melhorem continuamente seus processos de segurança.
• D: A alternativa sugere que o SSE-CMM foi criado apenas para ser aplicado no desenvolvimento de projetos de software. Isso não é verdade, pois o modelo é aplicável a qualquer tipo de organização que necessite de processos robustos de segurança de sistemas, não se restringindo apenas ao desenvolvimento de software.
• E: Esta alternativa afirma que o SSE-CMM se aplica apenas a pequenas e médias organizações privadas com um número reduzido de processos. Isso está incorreto porque o SSE-CMM é um modelo abrangente que pode ser aplicado em organizações de qualquer tamanho e tipo, incluindo grandes empresas e instituições públicas.

Espero que esta explicação tenha ajudado a compreender melhor o SSE-CMM e a razão pela qual a alternativa C é a correta. Se tiver mais dúvidas ou precisar de mais detalhes, estou à disposição para ajudar!

a) É indicado apenas para a elaboração de processos de gestão de segurança. (ERRADA)
O modelo pretende ser usado como:
- ferramenta para organizações de engenharia avaliarem as práticas de engenharia de segurança e definir melhorias para essas práticas.
- mecanismo padrão para clientes avaliarem as capacidades de engenharia de segurança de um provedor.
- base para avaliar organizações de engenharia de segurança (por exemplo, certificadores de sistemas e avaliadores de produtos) para estabelecer a capacidade da organização baseada em confiança (como um ingrediente para assegurar a segurança de sistemas ou projetos)

b) Descreve todas as características dos processos que devem existir em uma organização para assegurar uma boa segurança de sistemas, mas não define níveis de maturidade para os processos. (ERRADA)

O próprio modelo tem maturidade no nome... System Security Engineering - Capability Maturity Model. Já no primeiro capítulo do documento (1. Background ) há a seguinte afirmação:

"Within the ITS domain the SSE-CMM® Model is focussed on the processes used to achieve ITS, most specifically on the maturity of those processes."
c) Estão sendo identificadas e estudadas as métricas de processo e de segurança. (CORRETA)

Com relação ao uso da SSE-CMM, os seguintes tipos de métricas estão sendo identificadas e estudas:
- métricas de processo
- métricas de segurança

d) Foi criado para ser aplicado apenas no desenvolvimento de projetos de software.  (ERRADA)

Se aplica para desenvolvimento de produtos seguros, desenvolvimento de sistemas seguros e integradores, e organizações que provem serviços de segurança e de engenharia de segurança.

e) Aplica-se apenas a pequenas e médias organizações privadas que possuem um número reduzido de processos.  (ERRADA)
Se aplica a todos os tipos e tamanhos de organização de engenharia de segurança, tais como comerciais, governamentais ou acadêmicas.

Fonte: http://www.sse-cmm.org/model/model.asp

Fui só na eliminação aliado de um conhecimento mundano. rsrsss

Capacitação   Processo

Nível 0 – ad-hoc

Nível 1 – Executado   Satisfaz todas as metas específicas de sua área de processo.

Nível 2 – Gerenciado   É planejado e executado.

Nível 3 – Definido   É gerenciado e adaptado a partir de padroes da organização.integração

Nível 4 – Gerenciado Quantitativamente   definido e controlado (técnicas estatísticas e outros métodos quantitativos)

Nível 5 – Otimizado   Quantitativamente gerenciado e focado na melhoria contínua de desempenho.