適用于各種類型、規(guī)模和特性的組織（例如：商業(yè)企業(yè)、政府機構(gòu)、非盈利組織等），規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。以下示例說明了風險的不同類別。 

一、適用于所有組織的特定風險類別： 

1）工資、養(yǎng)老金、健康與安全、組織檔案、內(nèi)部和部門間的信息等； 

2）任何其他與個人有關(guān)的可識別信息； 

3）任何其他商業(yè)敏感/關(guān)鍵信息，例如，研發(fā)信息、設(shè)計信息、客戶組織詳細信息、財務結(jié)果 

4）與預測、商業(yè)計劃、知識產(chǎn)權(quán)、制造過程等。 

二、適用于政府的敏感和（或）關(guān)鍵信息的特定風險類別： 

1）公共信息； 

2）電子政務應用； 

3）持有的公民信息，例如，健康、救濟金、稅金、檔案等； 

4）政府的供應商和生產(chǎn)商持有的信息，例如，信息通信技術(shù)（ICT）設(shè)計、設(shè)施、產(chǎn)品、服務等。 

三、適用于組織種類的特定風險類別： 

1）法人治理—上市公司（可能也有其他大型的實體）。 

2）適用于行業(yè)的特定風險類別： 

3）衛(wèi)生保健； 

4）教育； 

5）航空航天； 

6）電信； 

7）金融服務； 

8）慈善團體和非盈利組織。