A Promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.
B Foi desenvolvida para organizações privadas e seus requisitos genéricos não são aplicáveis às organizações públicas ou privadas de pequeno porte.
C Adota o modelo conhecido como “Plan-do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.
D Específica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
E Específica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.