Стандартът определя изискванията за създаване, прилагане, поддържане и непрекъснато подобряване на система за управление на информационната сигурност в контекста на организацията. Той също така включва изискванията за оценка и третиране на рисковете за сигурността на информацията, подходящи за нуждите на организацията. Изискванията в стандарта са общи и са предназначени да се прилагат за всички организации, независимо от вида, размера или естеството.