Päätös soveltamisalan rajaamisesta on tärkeää, jotta tiedetään mitä tietoturvallisuuden hallintajärjestelmä kattaa ja mitä ei. Muuten riskinä voi esimerkiksi olla, että kriittisiä osa-alueita jää suojaamisen ulkopuolelle tai resursseja kohdistetaan ylimitoitetusti, jolloin organisaatiossa on tarpeettomia tietoturvariskejä.
Ylimmän johdon sitoutuminen tietoturvallisuuden hallintaan ja johtamiseen on tärkeää, jotta tietoturvallisuuden hallintajärjestelmä upotetaan organisaation toimintamalleihin ja näin ollen tietoturvallisesta toiminnasta tulee osa organisaation käytäntöjä.
Tietoturvariskien hallinta vaatii, että riskit kuvataan ja, että organisaatiossa otetaan käyttöön yhtenäiset käytännöt riskien tunnistamiseen, analysointiin ja käsittelyyn. Tämä edesauttaa riskien hallinnassa ja luo kontrolleja erilaisten riskien käsittelyyn sekä edesauttaa liiketoiminnan jatkuvuuden suunnittelussa.
Tietoturvapolitiikat ja -menettelyt vaatimuksessa tunnistetaan riskiperusteisesti ne osa-alueet, joihin laaditaan ja otetaan käyttöön yleisiä tai aihekohtaisia ohjeita.
Turvallisuuskontrollit tarkoittavat käytännön tasolla sitä, että organisaatiossa toteutetaan asianmukaiset turvallisuuskontrollit tunnistettujen tietoturvallisuusriskien vähentämiseksi. Standardi kuvaa tietoturvakontrolleja, jotka liittyvät kattavasti toiminnallisiin kyvykkyyksiin, kuten esimerkiki toimittajasuhteiden hallintaan sekä uhkien ja haavoittuvuuksien hallintaan.
Vaatimus sisäisistä auditoinneista tarkoittaa, että organisaatiossa suoritetaan säännöllisiä, tietyin aikavälein toistuvia sisäisiä auditointeja ISMS:n tehokkuuden arvioimiseksi ja kehittämistarpeiden tunnistamiseksi.
Johdon katselmukset ovat hallintajärjestelmää ylläpitävä ja kehittävä vaatimus, jonka avulla varmistetaan, että ISMS on edelleen sopiva, riittävä ja tehokas.
ISMS:n jatkuvaa parantamista tehdään vuosittaisen tehtäväsuunnitelman mukaisesti ja parantaminen perustuu seurantatietoihin (esim. tietoturvatapahtumat, tietoturvakoulutukset ja -tietoisuus) sekä auditointien ja katselmusten tuloksiin.
ISMS:stä viestitään kaikille työntekijöille ja tarjotaan tarvittavaa koulutusta. Koulutus on yleistä tietoturvatietoisuutta parantavaa tai roolikohtaista tietoturvallisia käytäntöjä kehittävää.