A norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

A norma adota o modelo conhecido como “Plan-Do-Check-Implement” (PDCI), que é aplicado para estruturar todos os processos do SGSI.

Na fase Fazer (Do) são executadas ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Os requisitos definidos nessa norma são específicos e detalhados e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza.