Es un modelo de clasificación estandarizado de competencias y capacidades en  materia de ciberseguridad, que, con un conjunto de directrices, buenas prácticas y  controles específicos, puede ser utilizado por una empresa para definir la estrategia  a la hora de detectar, prevenir, vigilar y responder a las posibles ciber-amenazas.