Die secuQUEST-Methode basiert auf der ISO-Norm 15504, besser bekannt als SPICE (Software Process Improvement and Capability Determination). Diese Norm ist ein internationaler Standard zur Durchführung von Assessments von Unternehmensprozessen.

Umgesetzt wird diese Norm durch die Quest-Methode, die an der TU Graz entwickelt wurde. Die Philosophie, die hinter secuQUEST steht, ist einerseits die Idee des Self-Assessments und andererseits die Durchführung eines kontinuierlichen Verbesserungsprozesses.

Bei einem Self-Assessment bewertet nicht ein externer Consultant das Unternehmen, sondern die Mitarbeiter selbst. Anhand des elektronischen secuQUEST Fragebogens und der daraus entstehenden Diskussion, werden die Schwachstellen in der Security-Architektur eines Unternehmens aufgedeckt.

Die secuQUEST-Methode versucht dabei, durch die Vermeidung von irritierenden Fragen einen maximalen Gehalt an nützlichen Informationen zu erhalten. So werden komplexe Fragestellungen durch kurze Fragen mit mehreren Attributen ersetzt.

Durch den kontinuierlichen Verbesserungsprozess stellt secuQUEST sicher, dass die Erstellung einer Security-Architektur kein punktueller Event ist. Vielmehr muss die Security-Architektur laufend am neuesten Stand gehalten und in regelmäßigen Abständen neu evaluiert werden. So gewährleistet secuQUEST, dass die Architektur immer eine hohe Qualität aufweist.

Das Assessment selbst erfolgt in kleinen Gruppen von bis zu 6 Personen. Die Team-Mitglieder kommen idealerweise aus verschiedenen Ebenen des Unternehmens (Management, Techniker, Sekretariat, Reinigungspersonal, etc.). Durch die Verwendung von unterschiedlichen Informationsquellen wird die Objektivität der Antworten sicher gestellt. Darüber hinaus kann das latente Wissen der Mitarbeiter über Security-Themen bestmöglich freigesetzt werden.