1. Respaldo y patrocinio
El principal elemento que se debe tener en cuenta es el respaldo de la alta dirección con relación a las actividades de seguridad de la información, de manera específica con la iniciativa de comenzar a operar con un SGSI.
2. Estructura para la toma de decisiones
Una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en torno al sistema de gestión, a través de la conformación de un foro o comité de seguridad, que permita llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, todas aquellas responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.
3. Análisis de brecha
Es un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria.
4. Análisis de Impacto al Negocio (BIA)
Es un elemento utilizado para estimar las consecuencias que podría padecer una organización como de algún incidente o un desastre. Tiene dos objetivos principales, proveer una base para identificar los procesos críticos para la operación de una organización y priorización de ese conjunto de procesos.
5. Recursos: tiempo, dinero y personal
Con base en los resultados de los análisis, es posible estimar los elementos necesarios para la implementación de ISO/IEC 27001. En caso de tratarse del primer ciclo de operación, se sugiere para la implementación un periodo con una carga de trabajo menor, que permita una planificación adecuada.
