Alcance
Esta norma especifica los requisitos fundamentales de la seguridad de la información para definir, implementar, ejecutar, monitorear, revisar, conservar y perfeccionar las relaciones con proveedores y adquirentes.Estos requisitos abarcan cualquier adquisición y provisión de productos y servicios, como la fabricación o el ensamblaje, adquisición de procesos de negocio, componentes de software y hardware, obtención de procesos de conocimiento, servicios de construcción, gestión y transferencia y servicios computacionales en la nube.Esta norma es aplicable a todas las organizaciones, sin importar, el tipo, tamaño o naturaleza de las mismas.Para cumplir los requisitos, se espera que una organización haya implementado de forma interna ciertos procesos fundamentales, o esté planifi cando de forma activa su implementación. Estos procesos incluyen, pero no se limitan a: gobernanza, gestión de negocios, gestión de riesgos, gestión operacional y de recursos humanos y seguridad de la información.