Promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

Foi desenvolvida para organizações privadas e seus requisitos genéricos não são aplicáveis às organizações públicas ou privadas de pequeno porte.

Adota o modelo conhecido como “Plan-do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.

Específica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

Específica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.