A especifica uma série de recomendações que, em seu conjunto, não chegam a constituir um completo sistema de gerenciamento de segurança da informação.
B sua adoção, por si só, não é suficiente para permitir a auditoria independente do sistema de gerenciamento de segurança da informação.
C descreve as técnicas de segurança da informação sob a forma de uma série de recomendações.
D sua adoção permite a certificação independente do sistema de gerenciamento de segurança da informação.
E seu escopo limita-se aos aspectos tecnológicos do manuseio e segurança da informação, não abrangendo aspectos que dizem respeito ao gerenciamento de recursos humanos.