Una declaración documentada que describe los objetivos de control y los controles que son relevantes y aplicables al Sistema de Gestión de Seguridad de la Información (SGSI) de la organización. Un componente clave de un SGSI definido en ISO/IEC 27001:2005.