Настоящий международный стандарт устанавливает требования к созданию, внедрению, техническому обслуживанию и непрерывному усовершенствованию системы обеспечения информационной безопасности организации в контексте её хозяйственной деятельности в условиях существующих рисков. Стандарт определяет также общие требования к процедурам оценки и отработки рисков информационной безопасности, адаптируемые к нуждам организации независимо от её типа, масштаба и сферы деятельности. Исключение любого из требований, указанных в разделах с 4-го по 10-й недопустимо, если организация заявляет о соответствии данному международному стандарту.