Se refiere a todas las medidas tomadas por una organización para proteger su información sensible. Se refiere a la realización de un análisis de riesgo informativo, luego del cual se decide qué medidas se deben tomar: medidas de seguridad física, protección de la información relacionada con el recurso humano, medidas de seguridad en el área de TI, con el fin de restringir y proteger el acceso al información de la organización o información de los clientes propiedad de la organización. SMSI se refiere, entre otras cosas, a la creación de un marco de continuidad del negocio en caso de desastre, la notificación de incidentes de seguridad, el cumplimiento de los requisitos legales (por ejemplo: licencia de todo el software utilizado, establecimiento de contraseñas en las estaciones de trabajo, protección del archivo y documentos en formato físico/electrónico, etc.)

Aproximadamente el 60% de los requisitos de la norma se refieren a medidas de protección de equipos informáticos y de comunicaciones, ya que la mayor parte de la información se encuentra en este entorno, en cualquier empresa.

A diferencia de ISO 20000, se aplica a cualquier organización, independientemente de su tamaño y tipo de actividad.