1. Definir el alcance y límites del SGSI en términos de las características del negocio, la organización, su ubicación, sus activos, tecnología e incluir los detalles y justificación de cualquier exclusión del alcance.

  2. Definir una política de SGSI en términos de las características del negocio, la Organización, su ubicación, sus activos y tecnología, que:

    • Incluya un marco de referencia para fijar objetivos y establezca un sentido general de dirección y principios para la acción con relación a la seguridad de la información;

    • Tenga en cuenta los requisitos del negocio, los legales o reglamentarios y las obligaciones de seguridad contractuales;

    • Esté alineada con el contexto organizacional estratégico de gestión del riesgo en el cual tendrá lugar el establecimiento y mantenimiento del SGSI;

    • Establezca los criterios contra los cuales se evaluará el riesgo.

    • Haya sido aprobada por la dirección.

  3. Definir el enfoque organizacional para la valoración del riesgo.

    • Identificar una metodología de valoración del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la información del negocio, identificados.

    • Desarrollar criterios para la aceptación de riesgos e identificar los niveles de riesgo aceptables.

  4. Identificar los riesgos

    • Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos.

    • Identificar las amenazas a estos activos.

    • Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas.

    • Identificar los impactos que la pérdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.

  5. Analizar y evaluar los riesgos.

    • Valorar el impacto de negocios que podría causar una falla en la seguridad sobre la organización teniendo en cuenta las consecuencias de la pérdida de confidencialidad, integridad o disponibilidad de los activos.

    • Valorar la posibilidad realista de que ocurra una falla en la seguridad considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos y los controles implementados actualmente.

    • Estimar los niveles de los riesgos.

    • Determinar la aceptación del riesgo o la necesidad de su tratamiento.

  6. Identificar y evaluar las opciones para el tratamiento de los riesgos.

           Las posibles acciones incluyen:
    • Aplicar los controles apropiados.

    • Aceptar los riesgos con conocimiento y objetividad siempre y cuando satisfagan claramente la política y los criterios de la organización para la aceptación de riesgos.

    • Evitar riesgos

    • Transferir a otras partes los riesgos asociados con el negocio, por ejemplo: aseguradoras, proveedores, etc.

  7. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.

    • Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos identificados en el proceso de valoración y tratamiento de riesgos.

  8. Obtener la aprobación de la dirección sobre los riesgos residuales propuestos.

  9. Obtener autorización de la dirección para implementar y operar el SGSI.

  10. Elaborar una declaración de aplicabilidad.

Planificar: Establece la política, los objetivos, procesos y procedimientos de seguridad pertinentes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de entregar resultados acordes con las políticas y objetivos globales de una organización.

Hacer: Implementa y opera la política, los controles, procesos y procedimientos del SGSI.

Verificar: Evalúa y en donde sea aplicable, mide el desempeño del proceso contra la política, los objetivos de seguridad, la experiencia práctica y reporta los resultados a la dirección, para su revisión.

Actuar: Emprende acciones correctivas y preventivas con base en los resultados de la auditoría interna y la revisión por la dirección, para lograr la mejora continua del SGSI.