Fases/Etapas

1. Objeto y campo de aplicación: Especifica la finalidad de la norma y su uso dentro de una organización.
2. Referencias normativas
3. Término y definiciones: Los términos y definiciones usados se basan en la norma ISO/IEC 27000.
4. Contexto de la organización: Se busca determinar las necesidades y expectativas dentro y fuera de la organización que afecten directa o indirectamente al sistema de gestión de la seguridad de la información. Adicional a esto, se debe determinar el alcance.
5. Liderazgo: Habla sobre la importancia de la alta dirección y su compromiso con el sistema de gestión, estableciendo políticas, asegurando la integración de los requisitos del sistema de seguridad en los procesos de la organización, así como los recursos necesarios para su implementación y operabilidad.
6. Planificación: Se deben valorar, analizar y evaluar los riesgos de seguridad de acuerdo a los criterios de aceptación de riesgos, adicional mente se debe dar un tratamiento a los riesgos de la seguridad de la información. Los objetivos y los planes para logar dichos objetivos también se deben definir en este punto.
7. Soporte: Se trata sobre los recursos destinados por la organización, la competencia de personal, la toma de conciencia por parte de las partes interesadas, la importancia sobre la comunicación en la organización. La importancia de la información documentada, también se trata en este punto.
8. Operación: El como se debe planificar y controlar la operación, así como la valoración de los riesgos y su tratamiento.
9. Evaluación de desempeño: Debido a la importancia del ciclo PHVA (Planificar, Hacer, Verificar, Actuar), se debe realizar un seguimiento, medición, análisis y evaluación del sistema de gestión de la información.
10. Mejora: Habla sobre el tratamiento de las no conformidades, las acciones correctivas y a mejora continua.