Grunnprinsippene er delt inn i fire kategorier som vist i Figur 2. Et grunnprinsipp er for eksempel «Beskytt data i ro og i transitt» som er en del av kategorien «Beskytte og opprettholde». Hvert grunnprinsipp har tilknyttede sikkerhetstiltak som beskriver hva som bør gjøres. Hvert grunnprinsipp er en kontinuerlig aktivitet som må vurderes i hele informasjonssystemets levetid, fra planlegging og etablering til avhending. Flere av grunnprinsippene bygger på hverandre, og enkelte er en forutsetning for at andre skal kunne implementeres effektivt.

Oppbygning av hvert prinsipp:

  • Grunnprinsippet (overskriften) – et anbefalt prinsipp som virksomheter bør følge.
  • Mål med prinsippet – beskriver hva man skal oppnå ved å innføre grunnprinsippet.  
  • Hvorfor er dette viktig? – beskriver hvorfor grunnprinsippet er viktig og mulige konsekvenser dersom grunnprinsippet ikke er implementert.
  • Anbefalte tiltak - beskriver sikkerhetstiltak en virksomhet bør gjøre for å følge grunnprinsippet.
  • Utdypende informasjon – beskriver «kjekt-å-vite-informasjon» om prinsippet og lenker hvor man kan finne utdypende informasjon.