Según ISO27000 todo conjunto de datos – escritos, gráficos, hablados, impresos, almacenados electrónicamente o en físico, proyectados o enviados por correo – que se encuentren organizados en poder de una entidad debe ser considerados como información de valor sustancial y por lo tanto debe ser protegida y preservada por la organización y todos sus actores en tres formas de tratamiento:

Confidencial.- la información solo es accesible para personal, entidades o procesos previamente autorizados.
Integridad.- consiste en saber con exactitud los usos que se le está dando a la información.
Disponibilidad.- acceso y aprovechamiento de la información previamente autorizada.
Establecer un proceso adecuado de gestión de la seguridad de la información tiene como base, llevar un proceso sistemático, documentado y conocido por todos los elementos, internos y externos de la organización. Lo anterior, da como resultado que la organización sea rentable, alineada a normatividades y cuente con una imagen institucional adecuada; convirtiendo esta gestión en beneficios económicos, legalidad, dinamismo, protección, aprovechamiento de oportunidades y cumplimiento de objetivos.

Para una correcta gestión de información, es necesario que tanto proveedores internos como externos y clientes, jueguen un papel activo dentro del proceso, ya que todos forman parte del modelo de gestión y por lo tanto deben llevar procesos adecuados de planificación implementación de controles de seguridad. El objetivo principal del SGSI es implementar controles de seguridad basados en una evaluación de riesgos y en una medición de su eficacia enfocada a los objetivos de negocio.

El SGSI se conforma por cuatro momentos base: planificar, hacer, verificar y actuar.

Planificar.- definir alcances, políticas de seguridad, identificar los riesgos, definir un plan de tratamiento de riesgos.
Hacer.- metodología de evaluación de riesgos, analizar y evaluar los riesgos, implementar el plan de tratamiento de riesgos e implementar controles.
Verificar.- declaración de aplicabilidad, definir un sistema de métricas, gestionar operaciones, gestionar recursos, actualizaciones.
Actuar.- tratamiento de los riesgos, detección y respuesta de incidentes, monitoreo y revisión, auditorías internas, registro de acciones y eventos, alcanzar objetivos y comunicar acciones y mejoras.

BIBLIOGRAFÍA
ISO 27000 (2017) Sistema de gestión de la seguridad de la información, recuperado de http://www.iso27000.es/download/doc_sgsi_all.pdf el 14 de febrero del 2018 a las 17:04 p.m. (PDF)