成熟度模型（ A maturity model）

-CMM 和 CMMI 成熟度水平比较
成熟度模型“可以”（而不是应该或必须）定义五个成熟度级别，因为普遍接受的传统能力成熟度模型集成 (CMMI) 模型定义了五个级别。然而，能力成熟度模型并非总是如此。
例如，OWASP SAMM 仅定义了四个级别：
0 隐含的起点代表未实现的实践活动
1 安全实践的初步理解和临时提供
2 提高安全实践的效率和/或有效性
3 大规模全面掌握安全实践
风险成熟度模型 (RMM) 目前仍在开发中。一些 RMM 可能定义了五个级别，但这不是必需的。

关键词（Key Words）
本文档中的关键词“必须”、“不得”、“要求”、“应该”、“不应”、“应该”、“不应该”、“推荐”、“可以”和“可选”是按照RFC 2119 中的描述进行解释。

专案/计划管理（Project/Program Management）

-战略投资组合

专案和计划是暂时的努力；他们的产出被转移到运营中，以持续创造和交付价值。一旦专案和计划关闭，专案和计划风险管理就可以停止。
风险管理有上下文。它可以发生在组织中的各种上下文或级别，例如资讯系统级别、业务流程级别、企业级别或专案/计画级别。在大多数情况下，风险管理是持续不断的努力。但是，在某些情况下，例如专案/计划级别的风险管理，它可能是临时的努力。

-专案生命周期（来源：PMBOK）
附件 A 中的ISO 27001要求 A.6.1.5 规定了专案管理中的资讯安全，要求控制“无论专案类型如何，都应在专案管理中解决资讯安全问题”。专案是“为创造独特的产品、服务或成果而进行的临时努力。另请参阅投资组合和计划。” (PMI) 一旦专案结束，专案级别的风险管理活动就会消失。
NIST SP 800-53 R5是一个安全控制框架，其中计画管理 (PM) 是控制系列之一。计画包括“以协调方式管理的相关专案、子专案群和计画活动，以获得单独管理无法获得的收益”。(PMI)

-安全和隐私控制系列（来源：NIST SP 800-53 R5）