SóProvas

Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação. 

É importante ter em mente a certa rigidez que a 27001 impõe as organizações quanto a exclusão de controles e/ou objetivos de controle:
- Exclusão de controle considerado necessário aos critérios de aceitação de riscos precisa ser justificada e evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas;

- A menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.

Segundo a ISO 27001,"3 Termos e definições

3.16 declaração de aplicabilidade:declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização."