Alcance
Esta norma proporciona directrices para la gestión del riesgo de seguridad de la información. Esta norma apoya los conceptos generales especificados en ISO/IEC 27001 y está diseñada para asistir la implementación satisfactoria de la seguridad de la información basada en un enfoque de gestión del riesgo.El conocimiento de los conceptos, modelos, procesos y terminologías que se describen en ISO/IEC 27001 e ISO/IEC 27002 es importante para una comprensión total de esta norma.Esta norma se aplica a todo tipo de organización (por ejemplo, empresas comerciales, organismos gubernamentales, organizaciones sin fines de lucro), que se proponga gestionar los riesgos que pudieran comprometer la seguridad de la información de la organización.