Un sistema de gestión es una forma de hacer la gestión basándonos en una serie de documentación. Es un conjunto de elementos interrelacionados de una organización para establecer unos objetivos, así como los recursos y políticas para alcnazarlos. Los objetivos generalmente son los siguientes:

La familia 27000 es una serie de normas, donde la 27001 es la certificable.

• ISO 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a la norma 27001.
• ISO 27002: Conjunto de controles que hay que valorar si es necesaria su aplicación o no
  • Consta de 93 controles en la versión actual.
    • Control de acceso de personal a espacios sensibles
    • Realización de copias de seguridad
    • Contratos de confidencialidad
    • Documento de salida que debe firmar del empleado
• ISO 27003: Guía de implementación de un SGSI.
• ISO 27004: Métricas y técnicas de medida
  • Cuantas incidencias hay
  • Medidas a tomar.
• ISO 27005: Consiste en como realizar un análisis de riesgos
• ISO 27006: Acreditaciós a cumplir por las organizaciones encargadas de realizar las auditorías
• ISO 27007: Como realizar una auditoría para realizar una certificación
• ISO 27033: Seguridad de redes
• ISO 27035: Seguridad de la información
• ISO 27036: Guía de cuatro partes de seguridad en la relación con proveedores (En desarrollo)

Especifica los requisitos para especificar, manter y mejorar un SGSI.

• Riesgo: Requisitos de protección y exposición al riesgo de los activos de la empresa y los istemas informáticos
• Cumplimiento:
  • Regulaciones externas establecidas por leyes, regulaciones y estándares.
  • Obligaciones contractuales
• Gobernanza: Alinear los objetivos de TI y seguridad de la información derivados de los objetivos generales de la empresa.