La norma specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Il documento include anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni, adattati alle esigenze dell'organizzazione. I requisiti stabiliti in questo documento sono generici e si intendono applicabili a tutte le organizzazioni, indipendentemente dal tipo, dalle dimensioni o dalla natura.
La presente edizione della norma si differenzia dalla precedente dalla sola inclusione dell'aggiornamento A1 (edizione settembre 2024) che riguarda le azioni relative al cambiamento climatico.