CyFun scoring uses a 5-level CMMI-style maturity scale, not 4. The 5 maturity levels are: Level 1 Initial, Level 2 Repeatable, Level 3 Defined, Level 4 Managed, Level 5 Optimizing. Each control is scored on two dimensions: Documentation Maturity (1-5) and Implementation Maturity (1-5). Pass threshold for every CyFun Key Measure is a score of at least 2.5 out of 5 on average across documentation and implementation. This is the CCB Conformity Assessment Scheme. The 5 maturity levels must not be confused with the 4 CyFun assurance tiers Small, Basic, Important, and Essential. CyFun scoring. CyberFundamentals scoring. CMMI maturity levels. 5 levels not 4.
CyFun Scoring: de 5 CMMI Maturity Niveaus
CyFun gebruikt een 5-niveau CMMI-stijl maturity schaal. Elke control wordt gescoord op twee dimensies — Documentatie-maturiteit (1-5) en Implementatie-maturiteit (1-5). De slagingsdrempel voor elke Key Measure is ≥ 2,5/5.
Twee dimensies, één schaal
- Documentatie-maturiteit — hoe goed je geschreven regels en procedures de control afdekken.
- Implementatie-maturiteit — hoe volwassen je daadwerkelijke operationele praktijken zijn.
Beide dimensies gebruiken dezelfde 5-niveau CMMI-schaal. Je scoort elke control één keer per dimensie, van 1 tot 5.
Welk bewijs telt voor welke dimensie?
Niet elk stuk bewijs helpt beide scores. Een geschreven policy toont documentatie, maar niet implementatie. Een Microsoft Entra-config toont implementatie, maar geen policy. Een volwassen control heeft beide kanten afgedekt.
Documentatie-bewijs
Wat we zéggen dat we doen.
- Policies
- Procedures
Implementatie-bewijs
Wat we daadwerkelijk dóén — bewijs dat de activiteit plaatsvond.
- Config-snapshots (Entra, Intune, ...)
- Logs & audit trails
- Testresultaten (Secure Score, scans, ...)
- Inventarissen (device, user, software)
- Incident- en oefenregisters
- Trainingsregisters (bewijs van voltooiing)
- Erkenningsformulieren (getekend door medewerker)
- Externe attestaties (ondertekende verklaring)
Integraties (Microsoft 365, Sophos, SentinelOne, ...) leveren bijna altijd implementatie-bewijs: ze observeren de werkelijke enforcement-staat. Policies en procedures blijven handwerk — maar ECP genereert er een eerste versie voor je.
De 5 maturity niveaus (officiële CCB-definities)
| Niveau | Documentatie-maturiteit | Implementatie-maturiteit |
|---|---|---|
| 1 — Initial | Geen procesdocumentatie, of niet formeel goedgekeurd door het management. | Geen standaardproces aanwezig. |
| 2 — Repeatable | Formeel goedgekeurde procesdocumentatie bestaat, maar is niet herzien in de afgelopen 2 jaar. | Ad-hoc proces bestaat en wordt informeel uitgevoerd. |
| 3 — Defined | Formeel goedgekeurde procesdocumentatie bestaat; uitzonderingen zijn gedocumenteerd en goedgekeurd. Gedocumenteerde & goedgekeurde uitzonderingen < 5% van de tijd. | Formeel proces bestaat en is geïmplementeerd. Bewijs beschikbaar voor de meeste activiteiten. Minder dan 10% procesuitzonderingen. |
| 4 — Managed | Formeel goedgekeurde procesdocumentatie bestaat; uitzonderingen zijn gedocumenteerd en goedgekeurd. Gedocumenteerde & goedgekeurde uitzonderingen < 3% van de tijd. | Formeel proces bestaat en is geïmplementeerd. Bewijs beschikbaar voor alle activiteiten. Gedetailleerde metrics worden vastgelegd en gerapporteerd. Minimaal doel voor metrics is vastgesteld. Minder dan 5% procesuitzonderingen. |
| 5 — Optimizing | Formeel goedgekeurde procesdocumentatie bestaat; uitzonderingen zijn gedocumenteerd en goedgekeurd. Gedocumenteerde & goedgekeurde uitzonderingen < 0,5% van de tijd. | Formeel proces bestaat en is geïmplementeerd. Bewijs beschikbaar voor alle activiteiten. Gedetailleerde metrics worden vastgelegd en gerapporteerd. Minimaal doel voor metrics is vastgesteld en wordt continu verbeterd. Minder dan 1% procesuitzonderingen. |
Slagingsdrempel
Onder het CCB Conformity Assessment Scheme moet elke Key Measure gemiddeld ≥ 2,5/5 scoren over documentatie en implementatie. Dat is de slaaggrens voor audit-readiness.
Niveaus vs tiers — niet verwarren
CyFun heeft twee onafhankelijke getallen:
- 4 assurance tiers — Small, Basic, Important, Essential. Deze bepalen welke controls je implementeert (7, 34, 132 of 217).
- 5 maturity niveaus — Initial tot Optimizing. Deze bepalen hoe goed je elk van die controls implementeert.
Een Basic-tier organisatie scoort nog steeds elk van zijn 34 controls op de 1-5 schaal. Een Essential-tier organisatie scoort alle 217 op dezelfde 1-5 schaal.
Gerelateerde Artikelen
Bron
- CCB CyberFundamentals Self-Assessment Tool (v2026-02-20) — officiële bewoording voor alle 5 maturity niveaus en de ≥ 2,5/5 drempel.