Formålet med denne kategorien er at virksomheten skal være i stand til å opprettholde den sikre tilstanden over tid og ved endringer samt skape forutsetning for å oppdage avvik. Prinsippene i denne kategorien ivaretar behovet for å håndtere både forutsette og uforutsette endringer. Sentralt her er å kontrollere at tiltakene fungerer etter sin hensikt, og oppdage avvik fra ønsket sikkerhetsnivå.