A partir da avaliação de impacto sobre os pilares confidencialidade, integridade e disponibilidade de informações, aconselha-se que sejam estabelecidos os níveis de segurança requeridos para as aplicações na forma de objetivos de segurança. Estes objetivos podem ser classificados em Gerenciais, Operacionais, Técnicos e Ambientais. Considere os objetivos apresentados a seguir:
I. Criar, proteger e reter os registros dos eventos de segurança ou de uso indevido. Garantir que indivíduos sejam responsabilizados por suas ações.
II. Proteger mídias (em papel ou digitais) referentes aos sistemas da informação ou dados sensíveis, fornecendo o apropriado controle de acesso, além de garantir o descarte apropriado destas mídias.
III. Identificar usuários, processos ou dispositivos e verificar (autenticar) suas identidades como pré-requisito para permitir seus acessos nos sistemas.
IV. Estabelecer, manter e implementar controles para assegurar a perenidade dos serviços, ou atender a critérios mínimos de disponibilidade.
V. Desenvolver, documentar, atualizar e implantar políticas de segurança, para evitar o vazamento de informações, paradas não programadas ou alterações indevidas em dados e processos.