Esta Norma provee orientación para el desarrollo y uso de medidas y mediciones, con el objetivo de evaluar la efectividad de un sistema de gestión de seguridad de la información (SGSI) y los controles o grupo de controles implementados, tal como se especifica en la INTE/ISO/IEC 27001. Esta Norma es aplicable a todo tipo y tamaño de organización Nota - Este documento utiliza las formas verbales para la expresión de disposiciones (por ejemplo, "debe", "no debe", "debería", "no debería", "puede", "no es necesario" y "no puede") que están especificadas en las Directrices de la ISO/IEC, Parte 2, 2004, Anexo H. Vea también el Anexo A de la INTE/ISO/IEC 27000:2011.