Toto není uplný přepis normu, ale její shrnutí.

Specifikuje požadavky na ustavení, implementování, provozování a stále zlepšování ISMS v rámci kontextu organizace. Zahrnuje požadavky na posouzení a ošetření rizik. Vyloučení jakýchkoli požadavků z kapitoly 4 až 10 je nepřijatelné.

Organizace musí určit externí a interní kontext, který je významný pro její zájmy.

Organizace musí určit:

a) zainteresované strany
b) požadavky zainteresovaných stran

Organizace musí určit hranice a aplikovatelnost ISMS, při tom zvažuje:

a) 4.1
b) 4.2
c) závislosti činností organizace a jiných organizací

Rozsah ISMS musí být dokumentovaný a dostupný.

Organizace musí ustavit, implementovat, udržovat a neustále zlepšovat ISMS v souladu s touto normou.

Vrcholové vedení musí demonstrovat vůdčí roli a závazek tím, že:

a) zajistí stanovení politiky ISMS
b) zajistí integraci požadavků ISMS do procesů organizace
c) zajistí zdroje
d) komunikuju význam efektivního řízení ISMS a význam dosažení shody
e) zajistí dosažení zamýšleného výstupu
f) směřuje a podporuje osoby k přispívání efektivnosti ISMS
g) prosazuje neustále zlepšování
h) podporuje ostatní řídící role

Vrcholové vedení musí stanovit politiku bezpečnosti informací, která

a) je přiměřená záměrům organizace
b) zahrnuje cíle BI (viz 6.2) nebo rámec pro nastavení cílů
c) zahrnuje závazek ke splnění požadavků BI
d) zahrnuje závazak k neustálemu zlepšování
Politika BI musí:
e) být dostupná jako dokumentovaná informace
f) být komunikována
g) být přiměřeně dostupná zainteresovaným stranám

Vrcholové vedení organizace musí zajistit, že odpovědnosti a pravomoci pro role jsou přiřazeny a komunikovány.

Musí přiřadit pravomoci a odpovědnosti pro:

a) zajištění shody ISMS s touto normou
b) podávání zprávy o vykonosti ISMS vrcholovému vedení