SAMM的總體框架如下圖所示。

SAMM的每個安全實踐是一個與安全相關的措施，以便保證相關業務功能的實現。所以，從總體來說，這十二個安全實踐都是改進軟件開發業務功能的獨立部分。

對于每一個安全實踐，SAMM設置了三個成熟度等級和一個隱含的零起點。每個等級的細節對不同實踐有所不同，但它們普遍代表：

0：隱含的0起點代表實際沒有實現該安全實踐；

1：對安全實踐有了初步了解并有所專門的設計和使用；

2：進一步提高了安全實踐的效率和有效性；

3：在一定規模上綜合、有效地掌握了安全實踐。 ‘

對于某個特定的軟件開發項目或軟件開發企業，使用SAMM對其進行評估，有兩種推薦的評估方法：

簡單方法：對每項安全實踐進行評估，并為得到的評估結果評定分數；

詳細方法：對每項安全實踐評估后，再執行額外的審計工作，以確保每個安全實踐中規定的每一項措施都已執行，且已達到成功指標。

軟件企業可以參考SAMM作為基準來衡量其軟件安全保證計劃。通過使用評估和記分卡，軟件開發企業能夠證明其軟件安全性得到循序漸進的改善，軟件開發企業還可以參考SAMM路線網模板，以指導建立或改善一個軟件安全保證計劃。