La documentación generada es de forma general para todas las organizaciones interesadas en tener un SGSI en la empresa, la cual consta de políticas que se pueden adaptar a las PYMES u organizaciones gubernamentales entre otras, que van desde las micro, pequeñas y medianas empresas en el Ecuador. El estudio de investigación consta de una serie de pasos el primero hace referencia a la estructura de la seguridad de la información en la institución, es decir cómo está diseñada la matriz organizacional, el segundo anexo trata de los dominios de control dela seguridad de la información, en la norma existen 14 dominios de control y 35 objetivos de control, los que son analizados con el responsable del departamento de tecnologías de la información (en caso de existir) y el tercero contiene las diferentes matrices de control de la seguridad de la información, consta de 114 controles, si se aplica cada uno delos anexos al final se puede determinar cuál es el nivel de implementación de un SGSI ,así también se pueden determinar las amenazas y vulnerabilidades que pueden ser internas o externas a la institución.