این استاندارد اطلاعات را به عنوان سرمایه ای تعریف می کند که می تواند در اشکال مختلف وجود داشته باشد و برای یک سازمان ارزشمند است. هدف امنیت اطلاعات حفاظت مناسب از این دارایی است تا تداوم آن شغل را بدین ترتیب تضمین کرده و خطرات را به حداقل رسانده و بازگشت سرمایه گذاری ها را به بیشترین مقدار ممکن افزایش دهد. این استاندارد بهترین قوانین را برای آغاز، اجرا یا نگهداری سیستم های مدیریت امنیت اطلاعات ارائه کرده است. امنیت اطلاعات را می توان در حوزه حفظ محرمانگی اطلاعات (یعنی کسب اطمینان از این موضوع که اطلاعات تنها برای افرادی خاص در دسترس می باشند)، امانت و راستی (به معنای مراقبت از درستی اطلاعات و روش ها پردازش آن ها) و دسترسی پذیری (کسب اطمینان از اینکه افراد مجاز هر زمان که به اطلاعات نیاز دارند، به آن دسترسی دارند) تعریف کرد.
