問題ごとの技術対策のほかに，組織のマネジメントとして，自らのリスク評価により必要なセキュリティレベルを決め，プランを持ち，資源配分として，システムを運用すること。

組織が保護すべき情報資産について，機密性，完全性，可用性をバランス良く維持し，改善することを要求するのがコンセプト。