Norma dává komplexní pohled na informační bezpečnost. Bere v úvahu všechny oblasti od rozvoje způsobilosti personálu až po technickou ochranu proti počítačovému pirátství. Informační bezpečnost je vytvořena tak, aby ochraňovala hodnoty proti neoprávněnému přístupu a změnám.
První část normy se zabývá implementací informační bezpečnosti. Jsou definovány a používány tyto bezpečnostní nástroje:
* bezpečnostní zájem;
* organizace bezpečnosti;
* klasifikace a řízení zdrojů;
* osobní bezpečnost;
* fyzická bezpečnost a bezpečnost vůči průniku okolí do systému;
* řízení komunikace a operační řízení;
* řízení přístupu;
* vývoj a údržba systému;
* řízení obchodní činnosti;
* shodové řízení.
Druhá část normy je specifikací systému řízení informační bezpečnosti, určenou pro certifikaci. Vytváří kritéria, podle kterých je systém hodnocen. Základem procesu je identifikace informačních aktiv, která mají být ochraňována, a určení, do jakého stupně má být tato ochrana prováděna. Aktiva pokrývají na jedné straně informace - digitální, papírové i uložené v myslích lidí; na druhé straně fyzický majetek - počítače a sítě.
Pro certifikaci je požadováno následujících šest kroků:
* zavedení politiky informační bezpečnosti;
* definování prohlášení o záměru podporovat a provádět informační bezpečnost;
* provedení rizikové analýzy;
* prohlášení o aplikovatelnosti;
* vypracování programu rozvoje podnikání (Business continuity plan);
* provedení certifikačního auditu.
Certifikace systému znamená, že nezávislá společnost, tzv. třetí strana, prohlásí, že systém je ve shodě s dokumentem, podle kterého byla jeho stavba provedena. Zvláštní pozice třetí strany je dána tím, že není závislá na společnosti, která o certifikaci usiluje. Certifikační společnost zastupuje okolí certifikované společnosti, například zákazníky, dodavatele, partnery nebo veřejnost obecně. Její akreditace příslušným národním orgánem zajišťuje její profesionalitu a nezávislost.
ISMS (Information Security Management System) zavedený firmou je auditovaný podobně jako jiné systémy řízení (ISO 9000, 14001 atd.). Navíc vůči těmto systémům zde auditor posuzuje, zda identifikovaná rizika jsou relevantní a zda míra ochrany byla zvolena adekvátně. Také se posuzuje tzv. Prohlášení o aplikovatelnosti, které transformuje požadavky normy do systému řízení. Jde o to, aby vznikl jeden integrovaný systém řízení, a ne dva paralelní.