O CMMI possui as representações por estágio e contínua. A representação por estágio tem cinco níveis e não possui equivalência com o nível 0 da representação contínua, que tem 6 níveis.

Caso determinada organização afirme possuir nível de maturidade 3, o processo gestão de contrato com fornecedor e o processo gestão de riscos, ambos da categoria gestão de projetos, serão entendidos e descritos em padrões para a organização.

Se determinada organização possuir nível de maturidade 4, os objetivos quantitativos dos processos medição e análise, da categoria suporte, e os objetivos do processo desempenho dos processos da organização, da categoria gestão de processos, serão estabelecidos para suas qualidades e desempenhos por meio de técnicas estatísticas.

Todas as áreas de processos abordadas na representação contínua, são também, abordadas na representação por estágios, onde uma área de processo é um conjunto de práticas relacionadas que, ao serem implementadas conjuntamente, satisfazem a um conjunto de metas consideradas importantes para a realização de melhorias naquela área. Nesse caso, infere-se que, para se atingir um nível de maturidade, é necessário possuir um grau de melhoria de processo em um conjunto predefinido de áreas de processo nas quais todas as metas devem ser satisfeitas.

A abordagem contínua no CMMI tem estrutura compatível com a ISO/IEC n.º 15.504 e trata de níveis de capacidades que, ao serem atingidos, representam o alcance de um determinado patamar de melhoria, caracterizado pela satisfação de um conjunto de práticas genéricas e específicas em determinada área de processo.

A criptografia é uma técnica voltada para proteger a confiabilidade das informações, principalmente a criptografia considerada forte, com tamanho de chaves acima de 1.024 bites.

A NBR ISO/IEC n.º 27.001/2006 segue o ciclo PDCA e, na fase de implementação e operação, afirma que a organização deve formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, os recursos, as responsabilidades e as prioridades para a gestão dos riscos de segurança.

A falta de rotina de substituição periódica e a destruição de um equipamento, ocasionada pela inexistência dessa rotina, são consideradas ameaças no gerenciamento de risco e devem ser tratadas, após a identificação dos equipamentos de hardware possivelmente afetados, por meio da utilização de ações descritas na NBR ISO/IEC n.º 15.408.

Radiação, furto e fenômeno sísmico são, respectivamente, exemplos de vulnerabilidades dos tipos acidente, intencional e natural, e podem constar no gerenciamento e no tratamento de risco.

De forma semelhante a assinaturas digitais, o hash pode ser implementado utilizando-se técnicas criptográficas, por meio de pares de chaves relacionadas, em que a chave privada é aplicada para criar a assinatura ou o hash e a chave pública realiza a verificação dessa assinatura.