SSE-CMM được biểu diễn như một mô hình tham chiếu quy trình. Nó được tập trung theo yêu cầu thực thi bảo mật trong một hệ thống hoặc chuỗi các hệ thống được kết nối là Thông tin. SSE-CMM là một khuôn khổ chung để thực hiện kỹ thuật bảo mật bên trong một tổ chức; nếu có thể kết hợp với một số CMM sản xuất.
SSE-CMM xác định các mục tiêu và các hoạt động có trong các quy trình như vậy, đạt được từ việc thực hiện các hoạt động này và sự hoàn thiện của quy trình. SSECMM không hỗ trợ hướng dẫn cho một phương pháp hoặc quy trình cụ thể được sử dụng; tiện ích của nó nằm ở việc tích hợp các quy trình hiện tại trong tổ chức với các quy trình có trong mô hình.
Hơn nữa, nó phụ thuộc vào mục tiêu và mục tiêu của mỗi tổ chức, có nhiều quy trình khác nhau trong SSE-CMM không thể áp dụng trong các bối cảnh xác định. Vì lý do này, các tổ chức nên nghiên cứu cẩn thận các mối quan hệ giữa nhiều phương pháp thực hành trong mô hình để quyết định khả năng áp dụng của chúng theo nhu cầu của họ.
Mô hình SSE-CMM được chia thành hai lĩnh vực hoặc thứ nguyên khác nhau nhưng có liên quan đến nhau như miền và khả năng. Các khu vực quy trình và hoạt động khác nhau được xác định cho cả hai phần. Các thực tiễn liên quan đến miền được quy định đối với miền bảo mật trong khi các thực tiễn về khả năng chung hơn và sử dụng cho nhiều lĩnh vực. Kích thước năng lực xác định các thực hành biểu thị quản lý quá trình và thể chế hóa năng lực.
SSE-CMM được xây dựng dựa trên công việc của Deming giống như các CMM khác đã làm, tập trung vào định nghĩa và cải tiến quy trình như tập trung vào định nghĩa và cải tiến quy trình như một giá trị cốt lõi.
SSE-CMM xem xét sự xuất hiện của các lỗi hoặc sự cố bảo mật và yêu cầu xác định lỗ hổng trong quy trình liên quan để khắc phục lỗ hổng, do đó loại bỏ lỗi tổng thể. Nó có thể đạt được những cải tiến trong các quá trình, những quá trình đó nên được mong đợi, với các kết quả có thể dự đoán được. Hơn nữa, các kiểm soát phải được xác định và loại bỏ gắn liền với các quy trình đó.
SSE-CMM là kiến trúc phức tạp, đã được thử nghiệm tốt để kết hợp vào một tổ chức định hướng kỹ thuật. Nếu tổ chức thực hiện kỹ thuật, chẳng hạn như thông qua phát triển sản phẩm, thì nhu cầu SSE-CMM, nói chung là sự kết hợp trong các CMM khác, sẽ rất có giá trị.
SSE-CMM không phải là kết hợp tốt nhất cho các tổ chức dịch vụ không được xử lý một chức năng kỹ thuật. Mặc dù SSE-CMM chắc chắn có những bài học quan trọng để hướng dẫn về mặt quản lý an toàn thông tin một cách tổng thể, nhưng những bài học đó sẽ phức tạp để thực hiện bên ngoài bối cảnh kỹ thuật.
Cách tiếp cận CMM rất phù hợp, nhưng rất xa lạ với văn hóa kinh doanh của Mỹ. Nó được cho là bắt đầu bằng một phân tích thống kê về các quá trình, và sau đó sử dụng các số liệu thống kê đó để cô lập các khiếm khuyết bên trong các quá trình đó, hướng tới mục tiêu cuối cùng là có được cái nhìn sâu sắc hơn về các quá trình và thúc đẩy môi trường xung quanh cải tiến chất lượng liên tục liên quan đến các quá trình.