- Es un estándar de gestión de seguridad de la información (ISMS) que especifica un sistema de gestión orientado a mantener las Seguridad de la información bajo control explícito de la gerencia.
- Define requerimientos específicos para la gestión de riesgos:
- Examinar sistemáticamente los riesgos de seguridad, amenazas, vulnerabilidades e impactos
- Definición e implementación de controles de seguridad u otras formas de tratamiento de los riesgos
- Definir un esquema de gestión para el seguimiento a lo largo del tiempo
- El enfoque es sobre los activos involucrados en la seguridad de la información, pero estos conceptos se pueden aplicar a la provisión general de servicios.
