Este documento establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Define términos clave como activo, control, directriz, servicio de procesamiento de información, política, riesgo, análisis de riesgos, evaluación de riesgos y valoración de riesgos. Describe la estructura de la norma, que contiene once secciones sobre controles de seguridad organizados en categorías principales.