| Grupa zabezpieczeń | Podgrupa zabezpieczeń |
| Polityka bezpieczeństwa | polityka bezpieczeństwa informacji |
| Organizacja bezpieczeństwa informacji | organizacja wewnętrzna, strony zewnętrzne |
| Zarządzanie aktywami | odpowiedzialność za aktywa, klasyfikacja informacji |
| Bezpieczeństwo zasobów ludzkich | przed zatrudnieniem, podczas zatrudnienia, zakończenie lub zmiana zatrudnienia |
| Bezpieczeństwo fizyczne i środowiskowe | obszary bezpieczne, bezpieczeństwo sprzętu |
| Zarządzanie systemami i sieciami | procedury eksploatacji i zakresy odpowiedzialności, zarządzanie usługami dostarczanymi przez strony trzecie, planowanie i odbiór systemów, ochrona przed kodem złośliwym i kodem mobilnym, kopie zapasowe, zarządzanie bezpieczeństwem sieci, obsługa nośników, wymiana informacji, usługi handlu elektronicznego, monitorowanie |
| Kontrola dostępu | wymagania biznesowe wobec kontroli dostępu, zarządzanie dostępem użytkowników, odpowiedzialność użytkowników, kontrola dostępu do sieci, kontrola dostępu do systemów operacyjnych, kontrola dostępu do aplikacji i informacji, przetwarzanie mobilne i praca na odległość |
| Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych | wymagania bezpieczeństwa systemów informacyjnych, poprawne przetwarzanie w aplikacjach, zabezpieczenia kryptograficzne, bezpieczeństwo plików systemowych, bezpieczeństwo w procesach rozwojowych i obsługi informatycznej, zarządzanie podatnościami technicznymi |
| Zarządzanie incydentami związanymi z bezpieczeństwem informacji | zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości, zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami |
| Zarządzanie ciągłością działania | aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania |
| Zgodność | zgodność z przepisami prawa, zgodność z politykami bezpieczeństwa i standardami oraz zgodności techniczne, rozważania dotyczące audytu systemów informacyjnych |
