La norma ISO 27001 establece los requisitos para un sistema de gestión de
seguridad de la información (SGSI) y su primera sección, "Alcance", establece
los objetivos iniciales del estándar. Estos son: 1. Establecer una política de seguridad de la información: La organización debe establecer una política de seguridad de la información que defina sus objetivos y principios generales para la gestión de la seguridad de la información. 2. Definir el alcance del SGSI: La organización debe definir el alcance del SGSI, es decir, qué activos de información están cubiertos por el sistema de gestión y qué áreas de la organización están incluidas. 3. Realizar una evaluación de riesgos de seguridad de la información: La organización debe realizar una evaluación de riesgos de seguridad de la información para identificar y evaluar los riesgos potenciales para la confidencialidad, integridad y disponibilidad de la información. 4. Gestionar los riesgos de seguridad de la información: La organización debe seleccionar y aplicar controles para tratar los riesgos de seguridad de la información identificados en la evaluación de riesgos. 5. Realizar una revisión del SGSI: La organización debe realizar una revisión del SGSI para asegurarse de que sigue siendo adecuado, suficiente y eficaz, y para identificar y abordar las áreas en las que se necesiten mejoras.