Enfatiza a importância de identificar e avaliar os riscos de segurança da informação, requerindo que organizações implementem processos de gestão de riscos para identificar ameaças potenciais, avaliem seu impacto e desenvolvam estratégias de mitigação apropriadas. 

Define um framework e ferramentas para proteção contra os principais conhecimentos para táticas e técnicas de ataque à infraestrutura de TI e determina padrões organizacionais de segurança da informação. 

Foca na proteção de dados pessoais, estabelecendo diretrizes genéricas o suficiente para estar em conformidade com a GDPR (General Data Protection Regulation) e a Lei Geral de Proteção de Dados (LGPD). 

São diretrizes para segurança da informação em grandes organizações, não sendo recomendadas para empresas ou organizações de pequeno ou médio porte devido à sua complexidade e custo de implementação. 

Define níveis de maturidade em segurança da informação para as empresas que desejam fornecer um ambiente de TI seguro, especificando áreas de processo e atividades para cada nível de maturidade.