Das ISMS soll durch das Aufstellen von Verfahren und Regeln die Informationssicherheit innerhalb eines Unternehmens oder einer Organisation garantieren. Das ISMS definiert, steuert, kontrolliert und optimiert die Informationssicherheit kontinuierlich und wird Top-Down ausgeführt.