1) Define un marco para el establecimiento de objetivos y establece las
directrices y principios de acción en lo referente a seguridad de la información 2) Tiene en cuenta requerimientos legales, de negocio y contractuales 3) Se alinea el contexto estratégico de gestión del riesgo de la organización en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo.