Na NBR ISO 27001:2013, são definidos requisitos genéricos e pensados para serem aplicáveis a todas as organizações, independentemente do tipo, do tamanho ou da natureza.

Dentre os requisitos definidos para a avaliação do desempenho do Sistema de Gestão de Segurança da Informação (SGSI), tem-se