La norma fornisce indicazioni sull'architettura di sicurezza di protezione aziendale e sul quadro delle politiche, dei processi e dei tipi di controlli necessari per mitigare e gestire i rischi di sicurezza in tutti i domini della sicurezza protettiva, inclusi:
a) governance della sicurezza; b) sicurezza del personale; c) sicurezza delle informazioni; d) sicurezza informatica; e) sicurezza fisica. La norma è applicabile a qualsiasi organizzazione.