La norme ISO 28 000 s'attache à définir les moyens de mesurer l'efficacité des mesures de sûreté mises en œuvre par l'entreprise en conformité avec :

- les obligations imposées par le cadre règlementaire du domaine d'activité de l'entreprise,

- les objectifs propres au groupe d'appartenance de l'entreprise ou conformes aux engagements commerciaux signés.

 

Cette norme ne remplace en aucune manière de quelconques obligations règlementaires. Elle s'inscrit seulement dans une logique de clarification des divers processus concourant à l'atteinte des objectifs en matière de sûreté de l'entreprise.

Par la hiérarchisation des moyens et des objectifs qu'elle soutend, la norme est censée faciliter la prise de décision, homogénéiser le reporting des évènements ayant trait à la sûreté de manière à conserver un système de défense en phase avec l'évolution de la menace pesant sur l'activité de l'entreprise.