Dieses Dokument legt die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems im Kontext der Organisation fest. Darüber hinaus beinhaltet dieses Dokument Anforderungen an die Beurteilung und Behandlung von Informations- sicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Die in diesem Dokument festgelegten Anforderungen sind allgemein gehalten und dazu vorgesehen, auf alle Organisationen, ungeachtet ihrer Art und Größe, anwendbar zu sein. Wenn eine Organisation Konformität mit diesem Dokument für sich beansprucht, darf sie keine der Anforderungen in Abschnitt4 bis Abschnitt10 ausschließen.