La norma fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni, comprensivi di linee guida per la loro implementazione. Questo documento è elaborato per essere utilizzato dalle organizzazioni:
a) nell'ambito di un sistema di gestione per la sicurezza delle informazioni (SGSI) basato su UNI CEI EN ISO/IEC 27001;
b) per l' implementazione di controlli per la sicurezza delle informazioni basati sulle best practice riconosciute a livello internazionale;
c) per lo sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche per l'organizzazione.