SAMM的总体框架如下图所示

SAMM的总体框架如下图所示。

SAMM的每个安全实践是一个与安全相关的措施，以便保证相关业务功能的实现。所以，从总体来说，这十二个安全实践都是改进软件开发业务功能的独立部分。

对于每一个安全实践，SAMM设置了三个成熟度等级和一个隐含的零起点。每个等级的细节对不同实践有所不同，但它们普遍代表：

0：隐含的0起点代表实际没有实现该安全实践；

1：对安全实践有了初步了解并有所专门的设计和使用；

2：进一步提高了安全实践的效率和有效性；

3：在一定规模上综合、有效地掌握了安全实践。 ‘

对于某个特定的软件开发项目或软件开发企业，使用SAMM对其进行评估，有两种推荐的评估方法：

简单方法：对每项安全实践进行评估，并为得到的评估结果评定分数；

详细方法：对每项安全实践评估后，再执行额外的审计工作，以确保每个安全实践中规定的每一项措施都已执行，且已达到成功指标。

软件企业可以参考SAMM作为基准来衡量其软件安全保证计划。通过使用评估和记分卡，软件开发企业能够证明其软件安全性得到循序渐进的改善，软件开发企业还可以参考SAMM路线网模板，以指导建立或改善一个软件安全保证计划。