Alta Dirección Representante de la Dirección o Equipo

Identificar metas de Comprender los Revisión del Baseline

¿Compromiso SI Comunicar el interés requisitos de ISO/IEC 27001, el
de implantar? la organización para Identificar los
a la organización marco legal y consultar guías u
el sistema de gestión requisitos Realizar baseline
orientaciones disponibles mínimos de gap analysis
No
documentación
Nombrar un
PLAN

FIN
representante de la
Identificar hitos del
Dirección o un equipo
proyecto
Crear
diagrama de
Considerar la Gantt
certificación Aprobar y comunicar
Estimar costes y
el plan de asegurar los recursos
implantación

Apoyar el proyecto
DO

Implementar el Operar el
plan sistema
Hacer seguimiento del
proyecto
CHECK

Seguimento, medición,
análisis y evaluación

Revisión por ¿Implantación No

la Dirección finalizada?
ACT

Considerar la Yes
certificación Ruta Normal
Clave: Ruta Potencial
Mantener y mejorar
continuamente el sistema
 Acta revisión de
proyecto
Informe ejecutivo de
5 Fuerzas contexto, necesidades y Alcance del SGSI
PESTEL expectativas
Porter

Comprensión de la Comprensión de
Determinando el alcance del
organización y de su necesidades y expectativas SGSI
SGSI
contexto de las partes interesadas
FODA

Plan de proyecto de
Metodología de implementación de
evaluación de Matriz de partes interesadas y SGSI
CAME riesgos requerimientos normativos
Plan de tratamiento
de riesgos

Roles, responsabilidades Liderazgo y

Política
y autoridades compromiso
organizacionales
Tratamiento de riesgos Apreciación de riesgos de Acciones para tratar los
de seguridad de la seguridad de la riesgos y
Planificar

información información oportunidades

Política SGSI Acta; Acuerdo

RACI; Acta; Informe;
Matriz de gestión de Delegación; Notificación
riesgos Objetivos Asignación de
recursos

Objetivos de seguridad de la
Declaración de Planificación
información y planificación Recursos Competencia
aplicabilidad de cambios
para alcanzarlos.

Registros de formación,
Informe de análisis, habilidades, experiencia
evaluación y y calificaciones Concienciación
tratamiento de riesgos Monitoreados
Comunicados
Actualizados

Información
Comunicación
documentada

Evidencias de
concienciación

Metodología para registro y Registro de control Informe de comunicaciones

recuperación de documentación internas y externas

Apreciación de riesgos de Tratamiento de los

Planificación y control
Hacer

seguridad de la riesgos de seguridad de

operacional
información la información

Matriz de gestión
de riesgos

Plan de tratamiento
de riesgos

Programa de auditoría Metodología de medición,

análisis y evaluación de
desempeño
Verificar

Revisión por dirección Seguimiento, medición,

Auditoría interna análisis y evaluación

Informe de resultados de Informe de resultados de

revisión por la dirección auditoría Informe de Seguimiento y
resultados de medición Indicadores

Naturaleza de no
conformidades y
acciones realizadas
Actuar

No conformidad y acciones
Mejora continua
correctivas

Resultados de cualquier acción

correctiva
Leyenda

Documento obligatorio Registro resultado de otra fase Documentación de apoyo