En esta fase se deberían concretar aspectos como: la definición del alcance del SGSI, la política y los objetivos en materia de seguridad, la metodología y enfoque a utilizar para la evaluación de riesgos, el inventario de activos, la identificación de puntos débiles, la identificación de impactos, etc.
ISO/IEC 27001
En esta fase se definiría e implantaría el plan de tratamiento de riesgos, se implementarían elementos de control, tareas de formación y concienciar al personal y se operaría ya con el SGSI.
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
gestión de la seguridad
proceso diseñado para proteger una red y los datos que fluyen mediante los riesgos en cuanto al acceso no autorizado, mal utilización, mal funcionamiento, modificación, destrucción o divulgación indebida, al tiempo que permite que se establezcan ordenadores autorizados, usuarios y aplicaciones para llevar a cabo las actividades.
Realización ( Do ).
es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Las medidas de seguridad (o controles) que se van a implementar se presentan, por lo general, bajo la forma de políticas, procedimientos e implementación técnica (por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las empresas ya tienen todo el hardware y software pero utilizan de una forma no segura; por lo tanto, la mayor parte de la implementación de ISO 27001 estará relacionada con determinar las reglas organizacionales (por ejemplo, redacción de documentos) necesarias para prevenir violaciones de la seguridad.
Planificación ( Plan ).