Segundo a norma ISO/IEC 27001:
"Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).(...) A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. (...)".
Logo a assertiva está errada.
ERRADO. Muito bom o comentário do colega. Segue mais um trecho da norma como complemento.
A questão torna-se errada com o seguinte termo: 'ainda que não esteja voltado, entretanto'
Segundo a ISO 27001,"3 Termos e definições
3.7 sistema de gestão da segurança da informação
SGSI: a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
NOTA O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades,práticas, procedimentos, processos e recursos.
"