Esta Norma se enfoca en aspectos críticos necesarios para el diseño e implementación exitosa de un Sistema de Gestión de la Seguridad de la Información (SGSI) de acuerdo con la norma INTE/ISO/IEC 27001. Esta describe el proceso de especificación y diseño de un SGSI desde su inicio hasta la producción de los planes de implementación. Describe el proceso para obtener la aprobación de la dirección a fin de implementar un SGSI, define un proyecto para implementar un SGSI (referido en esta Norma como el proyecto SGSI), y proporciona orientación sobre cómo planificar el proyecto SGSI, culminando en un plan final del proyecto de implementación del SGSI. Esta Norma está destinada a ser utilizada por las organizaciones que implementan un SGSI. Es aplicable a todo tipo de organización (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin ánimo de lucro) de cualquier tamaño. La complejidad de cada organización y sus riesgos son únicos y sus requisitos específicos impulsarán la implementación del SGSI. Las organizaciones más pequeñas encontrarán que las actividades señaladas en esta Norma son aplicables a ellas y pueden ser simplificadas. Organizaciones complejas o de gran escala pueden encontrar que es necesaria una organización en capas o un sistema de gestión para gestionar eficazmente las actividades de esta Norma. Sin embargo, en ambos casos, se pueden planificar las actividades pertinentes mediante la aplicación de esta Norma. Esta Norma ofrece recomendaciones y explicaciones, no especifica ningún requisito. Esta Norma está destinada a ser utilizada en conjunto con INTE/ISO/IEC 27001 e INTE/ISO/IEC 27002, pero no pretende modificar o reducir los requisitos especificados en INTE/ISO/IEC 27001 o las recomendaciones previstas en INTE/ISO/IEC 27002. No son adecuadas las declaraciones de conformidad con esta Norma.