Alcance
Esta norma proporciona una guía para la gestión del riesgo de seguridad de la información.Esta norma apoya los conceptos generales que especifi ca ISO/IEC 27001 y se diseñó para asistir en la implementación satisfactoria de seguridad de la información en base a un enfoque de gestión del riesgo.Es importante tener conocimiento de los conceptos, modelos, procesos y terminologías descritos en ISO/IEC 27001 e ISO/IEC 27002 para comprender de forma completa esta norma.Esta norma se aplica a todos los tipos de organizaciones (por ejemplo, empresas comerciales, agencias de gobierno, organizaciones sin fines de lucro) que se proponen gestionar los riesgos que pueden comprometer la seguridad de la información de la organización.