„Norma popisuje systém řízení bezpečnosti informací, jehož cílem je nastavení řízení procesů spojených se zachováním dostupnosti, integrity a důvěrnosti důležitých informací,“ řekl Edvard Pícka, manažer IMS společnosti S&T CZ, a dodává: „Nejde přitom pouze o informace uložené v informačních systémech, ale zabývá se informacemi jako takovými, bez ohledu na to, jakou mají formu.“ Je tedy prakticky jedno, jestli jsou v podobě elektronické, papírové nebo pouze v hlavách zaměstnanců společnosti.
Nejprve je nutné pochopit, jaké informace jsou důležité a proč, a rozpoznat rizikové oblasti, kde může docházet k úniku. Posléze se implementuje řešení, které se následně zpětně kontroluje. Implementace bezpečnosti je tedy kontinuálním procesem, nikoli jednorázovým projektem.