Para se implantar um sistema de gestão de segurança da informação adequado ao ambiente organizacional, é suficiente atender o previsto nas diversas seções da norma em apreço, a qual detalha também os padrões específicos, os quais são mandatórios e independem do ramo de atuação da organização.

Como a norma mencionada estabelece um guia das melhores práticas para a gestão de segurança da informação, cabe ao gestor de cada organização avaliar os riscos do ambiente organizacional, determinar os requisitos específicos e então selecionar os controles apropriados à situação organizacional em questão. Verifica-se, então, que a avaliação de risco é fundamental no processo de estabelecimento dos controles de gestão de segurança, sendo recomendado que esse procedimento seja voltado aos aspectos subjetivos do gestor.

A referida norma, bem como suas atualizações correntes, apresenta um código de boas práticas para a gestão de segurança da informação, portanto, é adequada para usuários responsáveis por iniciar, implementar, manter e melhorar sistemas de gestão de segurança da informação.

Do escopo da estratégia de serviço constam os processos de gerenciamento financeiro, o de gerenciamento do portfólio de serviços e o de gerenciamento da demanda.