信息系統的管理、規劃與組織:評價信息系統的管理、計劃與組織方面的策略、政策、標準、程序和相關實務。信息系統技術基礎設施與操作實務:評價組織在技術與操作基礎設施的管理和實施方面的有效性及效率,以確保其充分支持組織的商業目標。資產的保護:對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持組織保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。