El documento establece las políticas y organización de seguridad de una empresa para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información. Define los roles del propietario, depositario y usuario, y clasifica los activos de información y sus niveles de acceso.