Um padrão que estabelece os conceitos e princípios gerais da avaliação de segurança de TI e especifica um modelo geral de avaliação. Ele inclui catálogos de requisitos de segurança em uma linguagem padronizada.