La norma stabilisce obiettivi di controllo, controlli e linee guida per l'attuazione dei controlli, per soddisfare i requisiti identificati da una valutazione del rischio e dell'impatto relative alla protezione dei dati personali.
In particolare, questa norma definisce delle linee guida basate sulla ISO/IEC 27002, prendendo in considerazione i requisiti per il trattamento dei dati personali che possono essere applicabili in un contesto pertinente alla situazione di rischio relativo alla sicurezza delle informazioni di un'organizzazione.
La ISO/IEC 29151:2017 è applicabile a organizzazioni di tutti i tipi e dimensioni che agiscono in qualità di titolari di dati personali (come definito nella ISO/IEC 29100), comprese le aziende pubbliche e private, gli enti governativi e le organizzazioni senza scopo di lucro che elaborano dati personali.