1.  Al iniciar el proyecto se debe asegurar el compromiso de la dirección y seleccionar y entrenar los miembros del equipo inicial que van a participar en el proyecto.
  2.  Definir el SGSI para identificar el alcance y las políticas de seguridad y recopilar los documentos de seguridad existentes en la organización para así preparar los procedimientos relacionados con la gestion y la operación del SGSI.
  3.  Después entramos a evaluar los riesgos y así poder definir una metodología para clasificar los riesgos y además de eso crear un inventario de activos y evaluarlos cuales van a ser protegidos de amenazas y vulnerabilidades , y asi poder calcular el valor del riesgo asociado a cada activo.
  4.  Después de hacer los puntos anteriores se entra a el tratamiento de los riesgos aquí es cuando se identifica y evalúa alternativas posibles para tratar los riesgos de la organización o empresa , después se selecciona e implementa los controles más efectivos que le permita a la organización reducir el riesgo a un nivel aceptable, después se redacta un documento donde se declaren los controles que utilizaron y este documento debe ser firmado por la dirección , después se verifican cuales son los riesgos residuales que han quedado sin cubrir y obtener la firma de la dirección  para asi preparar el plan de tratamientos de riesgos con los procedimientos para implantar los controles.
  5.  despues de esos procesos anteriores se implementan las operaciónes de formacion y sensibilizacion entre los empleados sobre los procedimientos que se van a implantar y dar a conocer la importancia que el proyecto de seguridad tiene para la organización.
  6.  se implementa el SGSI como plan de tratamiento de los riesgos con las politicas y procedimientos para los controles seleccionados.
  7.  se implementan procedimientos de monitorizacion para detectar los errores de los procesos y fallas de seguridad de forma rapida .
  8.  se revisa periodicamente las politicas y el alcance del SGSI y como va su eficacia en los riesgos residuales y de los riesgos aceptables.
  9.  comunicar los resultados de las auditorias a los interesados y adoptar las acciones correctivas y preventivas.
  10.  y medir el rendimiento del SGSI e implementar mejoras identificadas en las revisiones del SGSI.

 

Una vez que el sistema de gestión de la seguridad de la información ha sido implementado puede optar por ser certificada, siguiendo el Estándar De La ISO 27001 , ante un Organismo Internacional De Acreditación.

 El propósito de la certificación de un SGSI es demostrar ante el mercado que la organización tiene un adecuado Sistema De Gestión De La Seguridad De La Información.