I detta dokument specificeras kraven för att upprätta, införa, upprätthålla och ständigt förbättra ett ledningssystem för informationssäkerhet med hänsyn till organisationens förutsättningar. Detta dokument innehåller även krav för att bedöma och behandla informationssäkerhetsrisker anpassat efter organisationens behov. Kraven i detta dokument är allmänna och är avsedda att kunna tillämpas på alla organisationer, oavsett typ, storlek eller karaktär. Det är inte tillåtet att exkludera något av kraven i avsnitt 4–10 när en organisation anger efterlevnad av detta dokument.