La norma definisce i requisiti e fornisce linee guida per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione per le Informazioni in ambito Privacy (SGIP) nella forma di un'estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione della privacy all'interno del contesto di un'organizzazione.
La norma specifica i requisiti relativi ad un SGIP e fornisce linee guida per i titolari e i responsabili per il trattamento di dati personali.
La norma è applicabile ad organizzazioni di tutti i tipi e dimensioni, incluse aziende pubbliche e private, enti governativi e non-profit, che sono titolari e/o responsabili per il trattamento di dati personali all'interno di un Sistema di Gestione per la Sicurezza delle Informazioni.