Este estndar internacional ha sido preparado para proporcionar un modelo para establecer, implementar operar, monitorear, revisar, mantener

y mejorar un Sistema de Gestin de Seguridad de la Informacin. La adopcin de un SGSI debe ser una decisin estratgica para una organizacin. El diseo de un SGSI es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados, tamao y estructura de la organizacin. Este estndar puede ser utilizado por entidades internas y externas para evaluar la conformidad. ENFOQUE DEL PROCESO Una organizacin necesita identificar y manejar muchas actividades para poder funcionar de manera efectiva, cualquier actividad que usa recursos y es manejada para permitir la transformacin de insumos en salidas, se puede considerar un proceso. La aplicacin de un sistema de proceso dentro de una organizacin, junto con la identificacin y las interacciones de estor procesos y su gestin. Un enfoque de proceso para la gestin de la seguridad de la informacin presentado en este estndar internacional, fomenta que los usuarios enfaticen la importancia de: Entender los requerimientos de seguridad de la informacin y la necesidad de establecer una poltica y objetivos para la seguridad de la informacin. Implementar y operar controles para manejar los riesgos de la seguridad de la informacin. Monitoria y revisar el desempeo y la efectividad del SGSI. Mejoramiento continuo en base a la medicin de objetivos.

Este Estndar Internacional adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PHCA), el cual se puede aplicar a todos los procesos de SGSI. La Figura 1 muestra como un SGSI toma como insumo los requerimientos y expectativas de la seguridad de la informacin de las partes interesadas y a travs de las acciones y procesos necesarios produce resultados de la seguridad de la informacin que satisfacen aquellos requerimientos y expectativas. Este Estndar Internacional proporciona un modelo slido para implementar los principios en aquellos lineamientos que gobiernan la evaluacin del riesgo, diseo e implementacin de seguridad, gestin y re-evaluacin de la seguridad. Ejemplo 1: podra ser que las violaciones de seguridad de informacin no causen dao financiero a la organizacin y/o causen vergenza a la organizacin

Ejemplo 2: una expectativa podra ser que si ocurre un incidente serio - tal vez el pirateo del web site eBusiness, de una organizacin debera contarse con las personas con la capacitacin suficiente en los procedimientos apropiados para minimizar el impacto.

Planear (Establecer el SGSI)

Hacer (Implementar y operar el SGSI) Chequear (Monitoriar y revisar el SGSI)

Actuar (Mantener y mejorar el SGSI)

Establecer polticas, objetivos, procesos y procedimientos SGSI relevantes para manejar el riesgo y mejorar la seguridad de la informacin para entregar resultados en concordancias con las polticas y objetivos generales de la organizacin. Implementar y operar la poltica, controles, procesos y procedimientos del SGSI. Evaluar y donde sea aplicable medir el desempeo del proceso en comparacin con la poltica, objetivos y experiencias prcticas SGSI y reportar los resultados a la gerencia para su revisin. Tomar decisiones correctivas y preventivas, basadas en los resultados de la auditora interna SGSI y la revisin gerencial u otra informacin relevante, para lograr el mejoramiento continuo del SGSI.