Aplicable a cualquier organización y de cualquier tamaño. Especificaba los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI desde el contexto de los riesgos comerciales generales de la organización. Estableciendo controles de seguridad personalizados según las necesidades de organizaciones independientes o parte de ellas. Garatizaba la selección de controles de seguridad adecuados y proporcionados que protejan los activos de información, brindando confianza a las partes interesadas.

Especificaba los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización. Incluía requisitos para la evaluación y tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización. Incluía 10 requisitos generales con subrequisitos específicos. El código de prácticas para controles de seguridad de la información tenía 14 categorías, 35 objetivos de control y 114 controles.

Compuesta por 10 requisitos generales y subrequisitos específicos para cada uno de ellos. Se reestructuran las categorías a 4:
• Controles organizacionales (37 controles);
• Controles orientados a las personas (8 controles);
• Controles físicos (14 controles);
• Controles tecnológicos (35 controles);

En total se establecen 93 controles de los cuales 11 son nuevos. Se eliminó el activo “8.3.2 La eliminación de los medios de comunicación”.
Nuevos controles:
-5.7 Inteligencia de amenazas;
-5.23 Seguridad de la información para el uso de los servicios en la nube;
-5.30 Preparación de las TIC para la continuidad del negocio;
-7.4 Vigilancia de la seguridad física;
-8.9 Gestión de la configuración Control;
-8.10 Eliminación de información;
-8.11 Enmascaramiento de datos;
-8.12 Prevención de fuga de datos;
-8.16 Actividades de seguimiento;
-8.23 Filtrado web;
-8.28 Codificación segura.