La Gestione della Sicurezza informatica ha la primaria finalità di implementare tutte le attività necessarie al raggiungimento sul sistema informativo aziendale del livello di sicurezza adeguato.
L’organizzazione proposta dalla norma internazionale ISO 27001 è ispirata al modello “plan-do-check-act”. Tale modello si basa su due principi:
- la sicurezza ICT deve intervenire in tutte le fasi del ciclo di vita dei sistemi ICT (ideazione, progettazione, sviluppo, esercizio, dismissione);
la sicurezza ICT deve essere vista come un processo ciclico continuo al fine di garantire un costante allineamento rispetto alle evoluzioni del sistema stesso e alle minacce ad esso afferenti.