Gerenciamento de segurança
Objetivo
Sendo responsável pelo controle de acessos e integridade das informações de uma empresa, os profissionais de TI muitas vezes se deparam com a necessidade de documentar processos internos de segurança da informação
O padrão ISO/IEC 27002 é internacionalmente aceito como conjunto das melhores práticas de segurança da informação. A versão atualmente em uso deste padrão é de 2005. Está prevista uma atualização para 2011 que está sendo revisada neste momento pelo comitê do ISO/IEC.
Como a governança, a segurança da informação é uma área muito ampla com ramificações em quase todas as partes de uma organização. Governo, entidades filantrópicas e empresas privadas de qualquer tamanho ou objetivo envolvem questões relevantes para a segurança da informação. O objetivo pode ser diferente, mas todos tem pontos em comum.
Os departamentos de TI são meros "curadores" de uma boa quantidade das informações de valor de uma organização e são considerados os responsáveis por estas informações pelos demais colaboradores. No entanto, boa parte da informação escrita e intangível (como conhecimento estratégico, por exemplo) não tem nada a ver com TI.
O padrão ISO/IEC 27001 define formalmente um conjunto de requisitos obrigatórios para um Sistema de Gerenciamento de Segurança da Informação (ISMS - Information Security Management System). Porém, como este padrão é um guia/código de melhores práticas e não um padrão de certificação, as organizações estão livres para adotar o que melhor se adequar ao seu cenário. Normalmente as empresas que adotam o padrão ISO/IEC 27002 também adotam o ISO/IEC 27001.
Processo de Execução controlar elementos de segurança da informação, deve cobrir os seguintes aspectos:

1 - Gerenciamento e tratamento de riscos
2 - Política de segurança da informação
3 - Organização da segurança da informação
4 - Gestão de ativos
5 - Segurança de recursos humanos 5.1 Antes da contratação 5.2 Durante a contratação