La norma ISO/IEC 27001 establece los requisitos para establecer, implementar, mantener y mejorar continuamente un «Sistema de gestión de seguridad de la información» (que contempla a la Seguridad de la información, la ciberseguridad y la protección de la privacidad).
El SGSI (Sistema de Gestión de Seguridad de la Información) preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y da confianza a las partes interesadas que los riesgos se gestionan de forma adecuada. Fuente iso.org
Resumimos en el siguiente gráfico, a modo de mapa conceptual, los principales requisitos de la norma ISO/IEC 27001:2022:
La norma especifica, a continuación de los requisitos incluidos entre los apartados 4 y 10 inclusive, un Anexo Normativo denominado «Anexo A». Enumera los controles de seguridad de la información que se derivan y están alineados con los controles descriptos en la norma ISO/IEC 27002:2022 y deben usarse en el proceso de tratamiento de los riesgos de seguridad de la información.