Toto není uplný přepis normy, ale pouze její shrnutí.

Specifikuje požadavky na ustavení, implementování, provozování a stále zlepšování ISMS v rámci kontextu organizace. Zahrnuje požadavky na posouzení a ošetření rizik. Vyloučení jakýchkoli požadavků z kapitoly 4 až 10 je nepřijatelné.

Organizace musí určit externí a interní kontext, který je významný pro její záměry.

Organizace musí určit:

a) zainteresované strany
b) požadavky zainteresovaných stran

Organizace musí určit hranice a aplikovatelnost ISMS, při tom zvažuje:

a) 4.1
b) 4.2
c) závislosti činností organizace a jiných organizací

Rozsah ISMS musí být dokumentovaný a dostupný.

Organizace musí ustavit, implementovat, udržovat a neustále zlepšovat ISMS v souladu s touto normou.

Vrcholové vedení musí demonstrovat vůdčí roli a závazek tím, že:

a) zajistí stanovení politiky BI
b) zajistí integraci požadavků BI do procesů organizace
c) zajistí zdroje
d) komunikuju význam efektivního řízení BI a význam dosažení shody
e) zajistí dosažení zamýšleného výstupu
f) směřuje a podporuje osoby k přispívání efektivnosti ISMS
g) prosazuje neustále zlepšování
h) podporuje ostatní řídící role

Vrcholové vedení musí stanovit politiku bezpečnosti informací, která

a) je přiměřená záměrům organizace
b) zahrnuje cíle BI (viz 6.2) nebo rámec pro nastavení cílů BI
c) zahrnuje závazek ke splnění požadavků BI
d) zahrnuje závazak k neustálemu zlepšování řízení BI
Politika BI musí:
e) být dostupná jako dokumentovaná informace
f) být komunikována v rámci organizace
g) být přiměřeně dostupná zainteresovaným stranám

Vrcholové vedení organizace musí zajistit, že odpovědnosti a pravomoci pro role jsou přiřazeny a komunikovány.

Musí přiřadit pravomoci a odpovědnosti pro:

a) zajištění shody ISMS s touto normou
b) podávání zprávy o vykonosti ISMS vrcholovému vedení

Vrcholové vedení může delegovat odpovědnosti a pravomoci podávání zpráv o výkonnosti ISMS v rámci organizace

Při plánování ISMS musí organizace zvážit aspekty v 4.1 a požadavky v 4.2 a určit rizika a příležitosti, na které je třeba se zaměřit pro:

a) zajištění, že ISMS může dosáhnout zamýšleného výstupu
b) předcházení nebo snížení nežádoucích následků
c) dosažení neustálého zlepšování
Organizace musí plánovat:
d) opatření zaměřená na tato rizika a příležitost
e) jak

1. integrovat a implementovat tato opatření do procesů ISMS
   
2. vyhodnocovat efektivnost opatření

musí definovat a aplikovat proces posuzování rizik BI, který

a) stanoví a udržuje kritéria rizik BI

1. kritéria akceptace rizik
2. kritéria pro posouzení rizik

b) zajistí že, opakované posouzení rizik BI produkuje konzistentní a porovnatelné výsledky

c) identifikuje rizika

1. používá proces identifikace ztráty důvěrnosti,integrity a dostupnosti
2. identifikuje vlastníka rizika

d) analyzuje rizika

1. posuzuje pontecionální následky, při realizaci rizik identifikovaných v 6.1.2 c) 1)
2. posuzuje pravděpodobnost výskytu rizik identifikovaných v 6.1.2 c) 1)
3. určuje úroveň rizik

e) hodnotí rizika

1. porovná výsledky AR a kritéria rizik pro akceptaci a posouzení
2. stanovuje priority rizik pro ošetření

Musí uchovávat dokumentované informace o procesu posuzování rizik BI.

Organizace musí definovat a používat proces ošetření rizik BI pro:
a) výběr vhodných variant pro ošetření rizika BI s ohledem na výsledky posouzení rizik
b) určení všech opatření nezbytných k implementaci vybrané varianty pro ošetření rizika
c) porovnání opatření určených výše v b) s opatřeními v příloze A a pro verifikaci, že žádné nezbytné opatření nebylo vynecháno
d) vytvoření Prohlášení o aplikovatelnosti, které obsahuje nezbytná opatření (viz b) a c)) a zdůvodnění pro jejich zahrnutí, nebo vyloučení z přílohy A
e) formulace plánu ošetření rizik BI
f) získání souhlasu vlastníků rizik ohledně plánu ošetření rizik BI a přijetí zbytkových rizik BI

Musí uchovávat dokumentované informace o procesu ošetření rizik BI.