Denne internationale standard dækker alle typer virksomheder (fx kommercielle virksomheder, offentlige myndigheder, almennyttige organisationer). Denne internationale standard fastlægger krav til etablering, implementering, drift, overvågning, revurdering, vedligeholdelse og forbedring af et dokumenteret ISMS-system inden for rammerne af virksomhedens samlede forretningsrisici. Standarden fastlægger krav til implementeringen af sikkerhedsforanstaltninger, der er tilpasset behovene hos de enkelte virksomheder eller dele af virksomheder.
ISMS-systemet er udformet til at sikre, at der vælges fyldestgørende og passende sikkerhedsforanstaltninger, som beskytter informationsaktiver og skaber tillid hos interessenter.