适用于各种类型、规模和特性的组织（例如：商业企业、政府机构、非盈利组织等），规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。

一、适用于所有组织的特定风险类别：

l    1）工资、养老金、健康与安全、组织档案、内部和部门间的信息等；

l    2）任何其他与个人有关的可识别信息；

l    3）任何其他商业敏感/关键信息，例如，研发信息、设计信息、客户组织详细信息、财务结果

        4）与预测、商业计划、知识产权、制造过程等。

二、适用于政府的敏感和（或）关键信息的特定风险类别：

l   1）公共信息；

l   2）电子政务应用；

l   3）持有的公民信息，例如，健康、救济金、税金、档案等；

l   4）政府的供应商和生产商持有的信息，例如，信息通信技术（ICT）设计、设施、产品、服务等。

三、适用于组织种类的特定风险类别：

l    1）法人治理—上市公司（可能也有其他大型的实体）。

        2）适用于行业的特定风险类别：

l    3）卫生保健；

l    4）教育；

l    5）航空航天；

l    6）电信；

l    7）金融服务；

l    8）慈善团体和非盈利组织。