Om veilige software te ontwikkelen is het niet alleen van belang om kwetsbaarheden te verhelpen of te vermijden op technisch vlak, maar moeten organisaties en processen ook zodanig zijn ingericht dat ontwikkelaars in staat zijn hun werk goed en zorgvuldig te doen. Met de beleidsrichtlijnen kunnen organisaties hun beleid inrichten waardoor de uitvoerings- en beheersingsrichtlijnen zorgvuldig en gestructureerd kunnen worden toegepast. Met de beheersingsrichtlijnen kunnen organisaties hun softwarelandschap onder controle houden en ervoor zorgen dat wat veilig is, veilig blijft.

SIVA-raamwerk
De Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software zijn ingedeeld volgens het SIVA-raamwerk en sluiten daarmee aan op de indeling van de ICT-beveiligingsrichtlijnen voor webapplicaties en die voor mobiele apps. De beleids- en beheersingsdomeinen zijn daarin overkoepelend van toepassing over het gehele applicatiestelsel. De uitvoeringsrichtlijnen zijn afhankelijk van het type software. Het NCSC heeft daarom aparte publicaties die kunnen worden gekozen voor het product dat wordt ontwikkeld. De uitvoeringsdomeinen uit die richtlijnen kunnen worden gekozen op basis van de toepassingsbehoefte. Een webapplicatie zal vanzelfsprekend de richtlijnen voor webapplicaties toepassen. Een mobiele app kan een webapplicatie als serverzijde gebruiken, waardoor de richtlijnen voor webapplicaties van toepassing zijn op de serverzijde, en de richtlijnen voor mobiele apps op de app zelf.