La norma comienza aportando unas
orientaciones sobre el uso, finalidad y modo de
aplicación de este estándar.
2. Referencias Normativas
Recomienda la consulta de ciertos
documentos indispensables para la
aplicación de ISO27001
3. Términos y Definiciones
Describe la terminología
aplicable a este estándar.
4. Contexto de la Organización
Este es el primer requisito de la norma,
el cual recoge indicaciones sobre el
conocimiento de la organización y su
contexto, la comprensión de las
necesidades y expectativas de las partes
interesadas y la determinación del
alcance del SGSI.
5. Liderazgo:
Este apartado destaca la necesidad de que todos los
empleados de la organización han de contribuir al
establecimiento de la norma. Para ello la alta dirección
ha de demostrar su liderazgo y compromiso, ha de
elaborar una política de seguridad que conozca toda la
organización y ha de asignar roles, responsabilidades y
autoridades dentro de la misma.
6. Planificación
Esta es una sección que pone de manifiesto la
importancia de la determinación de riesgos y
oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de
establecer objetivos de Seguridad de la Información y el
modo de lograrlos
7. Soporte:
En esta cláusula la norma señala que para el buen
funcionamiento del SGSI la organización debe contar
con los recursos, competencias, conciencia,
comunicación e información documentada
pertinente en cada caso.
8. Operación:
Para cumplir con los requisitos de Seguridad de la
Información, esta parte de la norma indica que se
debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración
de los riesgos de la Seguridad de la Información y
un tratamiento de ellos.
9. Evaluación del Desempeño:
En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis,
la evaluación, la auditoría interna y la revisión por la
dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo
planificado.
10. Mejora
en la sección décima vamos a encontrar las
obligaciones que tendrá una organización
cuando encuentre una no conformidad y la
importancia de mejorar continuamente la
conveniencia, adecuación y eficacia del SGSI.
Anexo A
establece los objetivos de
control y los controles de
referencia