proteger e restaurar as condições operacionais normais dos sistemas de informação e as informações armazenadas nele, quando ocorre um ataque ou intrusão.

iterativamente auxiliar as organizações no estabelecimento de estratégias, no alcance de objetivos e na tomada de decisões fundamentadas.

preservar a confidencialidade, integridade e disponibilidade da informação através da aplicação de um processo de gestão de riscos, e fornecer confiança às partes interessadas de que os riscos são adequadamente gerenciados.

através de um processo sistemático, independente e documentado, obter evidências objetivas e avaliá-las objetivamente, para determinar a extensão na qual os critérios de segurança são atendidos.