
O documento fornece uma linguagem comum para tratar e gerenciar os riscos cibernéticos de uma forma eficaz em termos de custos com base nas necessidades dos negócios, sem colocar exigências regulatórias adicionais sobre as empresas. As organizações podem usar a estrutura para determinar o seu atual nível de segurança cibernética , definir metas que estão em sincronia com o seu ambiente de negócios e estabelecer um plano para melhorar ou manter a sua segurança. O documento também oferece uma metodologia para proteger a privacidade e as liberdades civis ajudando as organizações a incorporar essas proteções em um programa de segurança cibernética abrangente.
Os três principais elementos descritos no documento são o “Núcleo do Framework” , os “Níveis” e “Perfis”. O Núcleo apresenta cinco funções para identificar, proteger, detectar, responder e recuperar – que em conjunto permitem que qualquer organização entenda e molde o seu programa de segurança cibernética. Os “Níveis” descrevem o grau para que a gestão de riscos de segurança de uma organização atenda aos objetivos estabelecidos. Os “Perfis” ajudam as organizações a progredir para um nível atual de sofisticação de cibersegurança, atendendo às necessidades de negócios.