Предлагаемая модель в той или иной степени может быть применена в коммерческой организации. Условно назовем набор нормативных документов по информационной безопасности пакетом и структурируем его таким образом, чтобы им было удобно пользоваться.
В зависимости от специфики работы организации список перечисленных документов может быть расширен. Например, между стандартами и процедурами могут быть помещены политики информационной безопасности при работе в различных информационных системах, а аварийный план предварен документом по анализу рисков информационной безопасности.
| Наименование документа | Что описано | Назначение |
| Концепция информационной безопасности | Основные принципы информационной безопасности организации. Например, взаимоотношения между ключевыми субъектами: организация - клиент, пользователь - администратор - контролер, подразделение безопасности - остальные подразделения | Служит основой для всех остальных документов, в том числе для планов, стратегий и смет. Например: "Согласно пункту N Концепции "О необходимости обеспечения защищенного обращения клиентов к организации", следует приобрести межсетевой экран в следующей конфигурации..." |
| Стандарты информационной безопасности | Нормы по принципиальным вопросам информационной безопасности, указанным в концепции. Например, кто отвечает за безопасность на данном пользовательском рабочем месте, какова модель злоумышленника для организации, какие аспекты безопасности наиболее важны | Служат для определения того, что же, собственно, должны обеспечивать все мероприятия по безопасности, какое состояние организации считается безопасным |
| Процедуры информационной безопасности | Мероприятия по соблюдению обозначенных стандартов безопасности | Указывает пользователям, администраторам, контролерам, какие действия, в каких системах и в каком порядке нужно производить |
| Методики по информационной безопасности | Порядок выполнения процедур информационной безопасности | Является максимально подробным пошаговым руководством по выполнению процедур, вплоть до "выбрать закладку З и щелкнуть мышкой по кнопке К" |
| Аварийный план | Что и как делать, если произошло нечто нештатное, не указанное в предыдущих документах: авария, вторжение злоумышленника, сбой электропитания и т. д. | Предназначен для определения мероприятий, необходимых для подготовки к возможным инцидентам, указывает последовательность действий во время того или иного нарушения безопасности, процедуры по возвращению в рабочее состояние после завершения аварийного события |