В апреле 2009 года консорциум ISM3 опубликовал новую версию стандарта Information Security Management Maturity Model (ISM3) v2.3. Основные изменения коснулись метрик, ряда процессов и оценки уровня зрелости СУИБ.
Основные изменения:
- Уровень зрелости больше не субъективен. Он зависит от типов метрик, используемых для управления каждым процессом.
- Типов метрик теперь 7 вместо 4: Activity, Unavailability,Scope, Load, Quality, Efficacy и Efficiency.
- Название процесса GP-1 Управление документами изменено на GP-1 Управление знаниями.
- Название процеса TSP-6 Определение окружения и жизненных циклов изменено на TSP-6 Архитектура безопасности.
- Название процесса OSP-23 Обнаружение и анализ событий изменено на OSP-23 Обнаружение и анализ внутренних событий.
- Новый процесс OSP-28 Обнаружение и анализ внешних событий относится к репутационным рискам, нарушению интеллектуальных прав собственности и фишингу.
- Новый процесс TSP-14 Информационные операции включает разведку и дезинформирование.
- Изменены названия уровней зрелости: Basic, SME, eCommerce, Enterprise и Military.
- Улучшено руководство по управлению метриками (Измерение-Интерпретация-Исследование-Представление-Диагностика).
Стандарт стал платным.