Na norma NBR ISO/IEC 27001, especificam-se requisitos para o estabelecimento, a implementação, a operação, a monitoração, a análise crítica, a manutenção e a melhoria de um SGSI. Em razão de serem bem específicos, esses requisitos são aplicáveis somente a alguns tipos de organizações.

Segundo a norma NBR ISO/IEC 27001, a organização deve identificar e gerenciar os processos envolvidos em um SGSI, bem como reconhecer suas interações.

Para estruturar todos os processos envolvidos em um SGSI, estabelece-se, na norma NBR ISO/IEC 2700, a adoção do ciclo PERT (program evaluation and review technique), ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.

Segundo a NBR ISO/IEC 27002, os ativos da organização devem ser mantidos e protegidos, sendo necessários, primeiramente, o seu levantamento e a sua identificação com base em informações fornecidas pelos proprietários, também devidamente identificados e designados, de modo que um inventário de ativos possa ser estruturado e, posteriormente, descartado.

De acordo com a NBR ISO/IEC 27002, as informações e os ativos da organização não precisam ser classificados, necessariamente, conforme o nível de proteção recomendado para cada um deles, nem o tratamento desses dados deve seguir regras documentadas, que definem os usos permitidos desses ativos.