本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。为了满足风险接受准则必要的进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任,否则不能声称符合本标准。