Alcance
Esta norma proporciona directrices sobre conceptos, objetivos y procesos para la gobernanza de seguridad de la información, mediante las cuales las organizaciones pueden evaluar, dirigir, hacer seguimiento y comunicar los procesos relacionados con la seguridad de la información dentro de la organización.El público al que está destinado esta norma es:— organismo rector y alta dirección;— aquellos que son responsables de evaluar, dirigir y hacer el seguimiento al sistema de gestión de seguridad de la información (SGSI) basado en ISO/IEC 27001;— aquellos responsables de la gestión de la seguridad de la información que se lleva a cabo fuera del alcance de un SGSI basado en ISO/IEC 27001, pero dentro del alcance de la gobernanza.Esta norma se puede aplicar a todos los tipos y tamaños de organizaciones.Todas las referencias a un SGSI en esta norma se aplican a un SGSI basado en ISO/IEC 27001.Esta norma se centra en los tres tipos de organizaciones de SGSI que fi guran en Anexo B. Sin embargo, también lo pueden utilizar otro tipo de organizaciones.