pode ser usada somente por partes internas da organização para avaliar sua capacidade em atender aos seus próprios requisitos de segurança da informação.

não inclui requisitos para avaliação e tratamento de riscos de segurança da informação, mas indica a norma que orienta sobre este assunto.

apresenta requisitos genéricos que podem ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.

possui diversos requisitos nas seções que tratam do contexto da organização (seção 4) e melhoria (seção 10) que podem ser ignorados mesmo por organizações que buscam conformidade com esta Norma.

possui anexo “Referência ao conjunto de potenciais riscos de segurança da informação” que estão necessariamente alinhados com a Norma ABNT NBR ISO/IEC 27002:2018.