Denna standard ger vägledning för organisationens interna normer för informationssäkerhet och praktisk hantering av informationssäkerhet. Det innefattar val av, införande och förvaltning av säkerhetsåtgärder med hänsyn tagen till organisationens riskmiljö gällande informationssäkerhet.

Denna standard är utformad för att användas av organisationer som avser att:
a) välja säkerhetsåtgärder för införande av ett ledningssystem för informationssäkerhet baserat på SS-ISO/IEC 27001
b) införa allmänt accepterade informationssäkerhetsåtgärder;
c) utveckla sina egna riktlinjer för hantering av informationssäkerhet.