Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Os requisitos definidos nesta Norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta Norma. NBR ISO/IEC FDIS 27001/2013 -> 1 ESCOPO (pg 3)
Se a exclusão de quaisquer requisitos da norma enseja na não conformidade com ela, logo a implementação de todos os requisitos da norma são obrigatórios, inclusive os requisitos de avaliação e tratamento de riscos.
Essa obrigatoriedade, entretanto, não é aplicada aos requisitos de um SGSI, os quais são definidos pela Organização e patrocinados pela Alta Direção.