Esta Norma proporciona un enfoque estructurado y planificado para: a) detectar, reportar y evaluar los incidentes de seguridad de la información, b) responder a y gestionar los incidentes de seguridad de la información, c) detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información, y d) mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de gestionar los incidentes y vulnerabilidades de seguridad de la información. Esta Norma proporciona orientación sobre la gestión de incidentes de seguridad de la información, para organizaciones grandes y medianas. Las organizaciones más pequeñas pueden utilizar un conjunto básico de documentos, procesos y rutinas que se describen en esta Norma, dependiendo de su tamaño y tipo de negocio en relación con la situación de riesgo de la seguridad de la información. También proporciona orientación para organizaciones externas que prestan servicios de gestión de incidentes de seguridad de la información.