Esta norma especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización. Esta Norma Internacional también incluye los requisitos para la evaluación y tratamiento de los riesgos de seguridad de la información adaptados a las necesidades de la organización. Los requisitos establecidos en esta Norma Internacional son genéricos y se pretende que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza. No es aceptable que una organización reclame conformidad con esta Norma Internacional si está excluyendo cualquiera de los requisitos especificados en los apartados del 4 al 10.