Subcategoría
Divide una categoría en resultados concretos de las actividades técnicas y/o de gestión. Proporcionan un conjunto de resultados que, aunque no de forma exhaustiva, ayudan al logro de los resultados en cada categoría. Algunos ejemplos son: “La política de seguridad de la información se encuentra establecida”, “Gestión de acceso remoto”, “Existe un plan de gestión de vulnerabilidades”.