Cette classification n'est pas toujours pertinente, car l'implémentation de la norme est complexe, et une erreur peut facilement compromettre les propriétés anti rejeu et d'intégrité.
Elle définit l'exigence en matière de sécurité sur des thèmes comme : l'identification, les autorisations, la confidentialité, la disponibilité, l'intégrité et la non-repudiation.