CMMI分为五个等级，二十五个过程区域（PA）。
　　1． 初始级 软件过程是无序的，有时甚至是混乱的，对过程几乎没有定义，成功取决于个人努力。管理是反应式的。 
　　2． 已管理级 建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的过程纪律，能重复早先类似应用项目取得的成功经验。 
　　3． 已定义级 已将软件管理和工程两方面的过程文档化、标准化，并综合成该组织的标准软件过程。所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件，软件产品的生产在整个软件过程是可见的。 
　　4． 量化管理级 分析对软件过程和产品质量的详细度量数据，对软件过程和产品都有定量的理解与控制。管理有一个作出结论的客观依据，管理能够在定量的范围内预测性能。 
　　5． 优化管理级 过程的量化反馈和先进的新思想、新技术促使过程持续不断改进。 
　　每个等级都被分解为过程域，特殊目标和特殊实践，通用目标、通用实践和共同特性：
　　每个等级都有几个过程区域组成，这几个过程域共同形成一种软件过程能力。每个过程域，都有一些特殊目标和通用目标，通过相应的特殊实践和通用实践来实现这些目标。当一个过程域的所有特殊实践和通用实践都按要求得到实施，就能实现该过程域的目标。 
　　能力度等级：属于连续式表述，共有六个能力度等级(0~5)，每个能力度等级对应到一个一般目标，以及一组一般执行方法和特定方法。
　　0　不完整级
　　1　执行级
　　2　管理级
　　3　定义级
　　4　量化管理级
　　5　最佳化级
　　CMMI的评估方式：
　　自我评估：用于本企业领导层评价公司自身的软件能力。
　　主任评估：使本企业领导层评价公司自身的软件能力，向外宣布自己企业的软件能力
　　CMMI的评估类型：
　　软件组织的关于具体的软件过程能力的评估。
　　软件组织整体软件能力的评估（软件能力成熟度等级评估）。，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
3管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。