В первую очередь в нем упоминается Capability Maturity Model (CMM) и Capability Maturity Model Integration (CMMI), которые зарегистрированы от имени частного университета Карнеги-Меллон.
Здесь интересно то, что в рамках CMMI определяются области для измерения:
- стоимость;
- сроки;
- качество;
- удовлетворенность;
- возврат инвестиций.
Дополнительно со стороны SANS Institute даются комментарии к данным областям в разрезе ИБ:
Сама шкала пятиуровневая и предназначена для оценки процессов:
- «1»: Начальный;
- «2»: Управляемый;
- «3»: Определенный;
- «4»: Количественно управляемый;
- «5»: Оптимизируемый.
Далее упоминается подход от Gartner, Inc., используемый в рамках «ITScore for Information Security».
Здесь уже область применения шире процессов, на мой взгляд, речь об обеспечении ИБ, хотя в преамбуле сказано только о risk control processes.
Шкала пятиуровневая:
- «1»: Начальный;
- «2»: Развивающийся;
- «3»: Определенный;
- «4»: Управляемый;
- «5»: Оптимизируемый.
Продолжение следует …
