ИСО/МЭК 27001 представляет модель для установления, реализации, эксплуатации, мониторинга, проверки, поддержки и совершенствования СМИБ, используемой для защиты информационных активов. Информационные активы охватывают информацию любого вида, хранимую в любой форме и используемую для любых целей организации или в ее рамках.
Для достижения согласованности с ИСО/МЭК 27001 организация должна реализовать СМИБ на основе процесса оценки риска, чтобы определить риски информационных активов. Как часть этой работы, организация должна сделать выбор, реализовать, провести мониторинг и проверить разнообразные меры для осуществления менеджмента этих рисков. Эти меры известны как меры и средства контроля и управления. Организации необходимо определять допустимые уровни риска, учитывая требования бизнеса и налагаемые внешние требования. Примерами налагаемых внешних требований являются законодательные и нормативные требования или договорные обязательства.
ИСО/МЭК 27001 предназначен для использования организацией любого вида и величины.