La presente norma internazionale fornisce linee guida per normare la sicurezza delle informazioni di un'organizzazione e le prassi di gestione della stessa, ivi incluse la scelta, l'attuazione e la gestione dei controlli, tenendo in considerazione il contesto di rischio relativo alla sicurezza delle informazioni dell'organizzazione.
La presente norma internazionale è progettata per essere impiegata da organizzazioni che intendono:
a) scegliere i controlli nel processo di attuazione di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO/IEC 27001[10];
b) attuare controlli per la sicurezza delle informazioni comunemente riconosciuti;
c) sviluppare le proprie linee guida per la gestione della sicurezza delle informazioni