Het model richt zich op de organisatorische aspecten van beveiliging. Binnen het model staat keuzevrijheid van de gebruiker centraal. Het vertrekpunt is de formulering van een beveiligingsambitie, en op basis daarvan wordt vastgesteld naar welk ambitieniveau de organisatie streeft. Niveau 0 houdt none or accidental security in, niveau 1 staat voor incident management, 2 is security management, 3 is enterprise risk management en niveau 4 is operational excellence.
Elk niveau vergt een bepaalde inrichting van de security functie. Het is niet voor elke organisatie noodzakelijk om niveau 4 te bereiken. Organisaties moeten op basis van de niveaus beredeneerd keuzes maken, en als in de loop der tijd de behoeften veranderen kan de organisatie een niveau stijgen of dalen. Het model wordt doorontwikkeld en wordt gekoppeld aan een database.
