Maturity Model

[məˈtjʊərɪti ˈmɒdəl] · auch: Reifegradmodell, Reifegraduntersuchung

Ein Maturity Model (Reifegradmodell) ist ein strukturiertes Bewertungsframework, das den aktuellen Entwicklungsstand von Prozessen, Fähigkeiten oder Programmen auf einer definierten Skala einordnet und damit eine fundierte Grundlage für gezielte Verbesserungsmaßnahmen schafft.

Warum Maturity Models wichtig sind

Ohne Referenzrahmen ist jede Selbstbewertung subjektiv: „Unser Compliance-Programm ist gut“ ist keine verwertbare Aussage. Ein Reifegradmodell liefert eine strukturierte Skala, auf der der aktuelle Zustand objektivierbar eingeordnet werden kann – und damit auch, welcher Aufwand nötig ist, um die nächste Stufe zu erreichen. Das ist die Grundlage jeder rationalen Investitionsentscheidung in Compliance.

Wo Maturity Models gefordert werden

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 9.3	Die Managementbewertung umfasst die Bewertung des Reifegrades des ISMS und Verbesserungsmöglichkeiten.
CMMI	Kap. 2	Das CMMI-Modell definiert fünf Reifegradstufen für Prozessverbesserung und -optimierung.
NIS-2 / BSIG	§ 30 Abs. 1	Geeignete Maßnahmen müssen dem Stand der Technik und dem Risiko angemessen sein – was eine Reifegradbeurteilung impliziert.
COBIT 2019	Governance	COBIT verwendet ein Reifegradmodell zur Bewertung und Steuerung von IT-Governance-Prozessen.

BAM-Objektreferenz

BAM-Objekt CROSS-MM-01

BeschreibungReifegradmodell für das Compliance-Programm mit definierten Stufen und Bewertungskriterien

GitHubBAM Core →

Häufige Audit-Fehler

Reifegradanalyse wird einmalig durchgeführt und nicht wiederholt
Bewertung ist subjektiv und nicht durch Evidence belegt
Kein Entwicklungsplan aus den Ergebnissen abgeleitet
Reifegrad wird zu hoch eingeschätzt (Wunschdenken statt Fakten)

Gängige Reifegradmodelle im IT-Compliance-Kontext

Das CMM (Capability Maturity Model) unterscheidet fünf Stufen von „Initial“ (chaotisch, unpredictable) bis „Optimizing“ (kontinuierliche Verbesserung). Das CMMI (Capability Maturity Model Integration) erweitert dies auf verschiedene Disziplinen. Im ISMS-Kontext wird häufig eine vereinfachte fünfstufige Skala verwendet: Ad hoc, Defined, Implemented, Measured, Optimized. Wichtig ist nicht das Modell selbst, sondern die konsistente Anwendung und wiederholte Bewertung.

Nächste Ebene

Reifegradmodell anwenden: Bewertung, Entwicklungsplan, Reporting

Wie eine Reifegradanalyse durchgeführt wird, was in den Bericht gehört und wie Ergebnisse gesteuert werden.

Ebene 2 lesen → NIS-2-Stresstest starten →