Pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad.

Se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos.

Es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.