La norma specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Il documento include anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni, adattati alle esigenze dell'organizzazione. I requisiti stabiliti in questo documento sono generici e si intendono applicabili a tutte le organizzazioni, indipendentemente dal tipo, dalle dimensioni o dalla natura.