在技术实践中，成熟度模型通常被用于评价企业对其工作的组织能力与技术水平状态。在世界范围内，成熟度模型在信息安全管理工作中的应用非常广泛，其中一个典型案例就是ISO27000 系列信息安全管理体系标准。在企业信息安全管理体系建立的过程中，会遇到很多问题，包括：如何满足网络安全标准要求？在多大程度上满足这些要求？成熟度模型有助于解答这些问题，并能够在此基础上评估企业信息安全管理体系的成熟度。针对如何选择适合企业自身的信息安全成熟度模型问题，分析了信息安全相关的主要成熟度模型和最佳实践，并提出了一套度量指标，对模型对信息安全成熟度评估的适用性进行了分析。分析结果表明，最适合信息安全管理体系评估的成熟度模型为SSE-CMM、C2M2、NICE 和OISM3 等。