Al igual que otras normas ISO, en la sección 3 “Términos y Definiciones”, establecen los términos y definiciones.

En total define 37 términos, entre los cuales se incluyen algunos generales y ya definidos en ISO 27000 “Glosario de Términos”, tales como: control de acceso, ataque, autenticación, autenticidad, entidad, instalación de procesamiento de información, evento de seguridad de la información, incidente de seguridad de la información, gestión de incidentes de seguridad de la información, sistema de información, parte interesada, no repudio, política, procedimiento, proceso, registro, fiabilidad, amenaza y vulnerabilidad.

Los nuevos términos son:
Cadena de custodia, Información confidencial, disrupción, endpoint, brecha de seguridad de la información, personal, información de identificación personal, valuación del impacto de la privacidad, punto objetivo de recuperación (RPO) tiempo objetivo de recuperación (RTO) regla, información sensitiva, política específica y usuario.
En total incorpora 16 nuevos términos, buscando establecer un alcance más amplio en elementos propios de la ciberseguridad, la gestión de evidencia electrónica, la gestión de PII y privacidad, la gestión de incidentes y la gestión de la continuidad del negocio.