A Contém 21 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais que abordam a análise/avaliação e o tratamento de riscos.
B Define avaliação de riscos como um conjunto de atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Geralmente inclui o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.
C Define política como sendo as intenções e diretrizes globais formalmente expressas pela direção e define risco como sendo a combinação da probabilidade de um evento e de suas consequências.
D Define segurança da informação como forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.
E Tem como objetivo geral especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.