1. Para lograr el cumplimiento de los principios básicos y requisitos mínimos establecidos, se aplicarán las medidas de seguridad indicadas en este anexo, las cuales serán proporcionales a:
    1. Las dimensiones de seguridad relevantes en el sistema a proteger.
    2. La categoría del sistema de información a proteger.
  2. Las medidas de seguridad se dividen en tres grupos:
    1. Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
    2. Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
    3. Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.