Stelt een formele organisatiestrategie, -scope en -cultuur vast, en maakt deze toepasbaar met het doel de informatiebeveiliging te garanderen. Levert de basis voor informatiebeveiligingsmanagement (Information security management), met inbegrip van het definiëren van rollen en het toewijzen van verantwoordelijkheden (zie ook D.2). Gebruikt vastgestelde normen om doelstellingen te scheppen voor informatie-integriteit, beschikbaarheid en gegevensbescherming.
Module wordt gebruikt in de volgende profielen:
| Profiel Naam | Niveau | Toelichting | |
| Information Security Manager | 5 | ||
| Information Security Specialist | 4 | ||
