Celem nowej normy jest promowanie holistycznego podejścia do bezpieczeństwa informacji. Duży nacisk został położony na integrację trzech obszarw: technologii, ludzi i procesw, z argumentacją, że tylko w ten sposb można zapewnić wymagane bezpieczeństwo.