Un Sistema de Gestión de Seguridad de la Información (SGSI) consta de políticas, procedimientos, directrices y recursos y actividades asociados, gestionados colectivamente por una organización, con el fin de proteger sus activos de información. Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización para lograr los objetivos comerciales. Se basa en una evaluación de riesgos y los niveles de aceptación de riesgos de la organización diseñados para tratar y gestionar los riesgos de forma eficaz. El análisis de los requisitos para la protección de los activos de información y la aplicación de los controles adecuados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la implementación exitosa de un SGSI.

Los siguientes principios fundamentales también contribuyen a la implementación exitosa de un SGSI:

• Conciencia de la necesidad de seguridad de la información.

• Asignación de responsabilidad por la seguridad de la información.

• Incorporar el compromiso de la gestión y los intereses de las partes interesadas.

• Mejorar los valores sociales.

• Evaluaciones de riesgo que determinan los controles apropiados para alcanzar niveles aceptables de riesgo.

• La seguridad incorporada como elemento esencial de las redes y sistemas de información.

• Prevención activa y detección de incidentes de seguridad de la información.

• Asegurar un enfoque integral para la gestión de la seguridad de la información.

• Reevaluación continua de la seguridad de la información y realización de modificaciones según corresponda.