Alcance
Esta norma se enfoca en los aspectos fundamentales necesarios para el diseño y la implementación exitosa del Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con ISO/IEC 27001:2005. Describe el proceso de especificación y de diseño del SGSI desde el inicio hasta la producción de los planes de implementación. Describe el proceso para obtener la aprobación de la dirección para implementar un SGSI, define un proyecto para implementar un SGSI (mencionado en esta norma como el proyecto de un SGSI), y proporciona directrices sobre cómo planificar un proyecto de un SGSI que dará como resultado un plan de implementación final del proyecto de un SGSI.Esta norma tiene la finalidad de ser usada por las organizaciones que implementen un SGSI. Aplica para todos los tipos de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) de todos los tamaños. Todos los riesgos y la complejidad de las organizaciones son únicos, y sus requisitos específicos impulsarán la implementación del SGSI. Las organizaciones más pequeñas notarán que las actividades nombradas en esta norma se aplican a ellas y se pueden simplificar. Las organizaciones más complejas o de gran escala pueden encontrar que es necesario un sistema de organización o gestión de capas para gestionar las actividades en esta norma de manera efectiva. Sin embargo, en ambos casos, las actividades relevantes se pueden planificar al aplicar esta norma.Esta norma proporciona recomendaciones y explicaciones, pero no especifica ningún requisito. Esta norma tiene la finalidad de ser usada en conjunto con ISO/IEC 27001:2005 e ISO/IEC 27002:2005, pero no tiene el propósito de modificar y/o reducir los requisitos especificados en ISO/IEC 27001:2005 o las recomendaciones proporcionadas en ISO/IEC 27002:2005. No es apropiado exigir conformidad con esta norma.