適用于各種類型、規模和特性的組織（例如：商業企業、政府機構、非盈利組織等），規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。以下示例說明了風險的不同類別。

一、適用于所有組織的特定風險類別：

1）工資、養老金、健康與安全、組織檔案、內部和部門間的信息等；

2）任何其他與個人有關的可識別信息；

3）任何其他商業敏感/關鍵信息，例如，研發信息、設計信息、客戶組織詳細信息、財務結果

4）與預測、商業計劃、知識產權、制造過程等。

二、適用于政府的敏感和（或）關鍵信息的特定風險類別：

1）公共信息；

2）電子政務應用；

3）持有的公民信息，例如，健康、救濟金、稅金、檔案等；

4）政府的供應商和生產商持有的信息，例如，信息通信技術（ICT）設計、設施、產品、服務等。

三、適用于組織種類的特定風險類別：

1）法人治理—上市公司（可能也有其他大型的實體）。

2）適用于行業的特定風險類別：

3）衛生保?。?/span>

4）教育；

5）航空航天；

6）電信；

7）金融服務；

 8）慈善團體和非盈利組織。