1.1 Generalidades Esta norma internacional cubre todo tipo de organizaciones (por ejemplo: empresas comerciales, entidades gubernamentales, organizaciones sin fines de lucro). Esta norma internacional especifica los requisitos para establecer, implementar, operar, dar seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o a partes de ellas. El SGSI se diseña para asegurar la selección adecuada de controles de seguridad que proporcionen protección a los activos de información y brinden confianza a las partes interesadas. Nota 1. Las referencias que se hacen en esta norma internacional a “negocio” se deberían interpretar ampliamente como aquellas actividades que son esenciales para el propósito de la existencia de la organización. Nota 2. La norma INTE-ISO/IEC 27002 brinda una guía de implementación que puede utilizarse para el diseño de controles. 1.2 Aplicación Los requisitos establecidos en esta norma internacional son genéricos y están previstos para ser aplicados a todas las organizaciones, independientemente de su tipo, tamaño y naturaleza. No es aceptable la exclusión de cualquiera de los requisitos especificados en los capítulos 4, 5, 6, 7 y 8 cuando una organización declara conformidad con la presente norma internacional. Cualquier exclusión de controles, considerada necesaria para satisfacer los criterios de aceptación de riesgos, necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados por las personas responsables. Las declaraciones de conformidad con esta norma internacional en donde se excluya cualquier control no son aceptables, a menos que dichas exclusiones no afecten la capacidad ni la responsabilidad de la organización para ofrecer seguridad de la información que satisfaga los requisitos de seguridad determinados por la valoración del riesgo, así como los requisitos legales y reglamentarios aplicables. Nota. Si una organización ya tiene en funcionamiento un sistema de gestión de los procesos de su negocio (por ejemplo: en relación con la norma INTE/SO 9001 o INTE/ISO 14001), en la mayoría de los casos es preferible satisfacer los requisitos de la presente norma como parte del sistema de gestión existente.