各組織の情報資産のリスク(紛失、漏洩、改ざんなど)は様々であり、対策も様々です。各組織のISMSでは、(個々のリスクごとの技術的な対策を定めるだけではなく、)組織自体によるリスク評価に基づいて必要なセキュリティレベルを決め、プランをもち、資源を配分して、システムを運用することを定める。
組織の情報資産を洗い出し、各情報資産に対するリスクを分析して評価し、リスクを軽減するなどの対策を行うことによって、組織の情報セキュリティを高めます。ISMSでは、組織として許容できる範囲のリスクかどうかの判断を経営陣が行ったうえで、限度以上のリスクについて許容範囲までのリスク軽減の対策を講じます(または、リスクの回避、転嫁、受容をする)。
そして、対策が実行されているのを管理することが求められます。