Un SGSI es un Sistema de Gestión, un Sistema de Gestión al que se le aplican unas medidas y procedimientos sobre como gestionar la Seguridad en los Sistemas de Información de una organización. En concreto en nuestro caso el SGSI estará fundamentado en la norma UNE-ISO/ IEC 27001/ 2007 con 11dominios (se encuentran así mismo en la norma ISO 27002), 39objetivos de control y 133 controles. Un SGSI basado en ISO 27001 se puede integrar con SGC (ISO 9001) y con SGMA (ISO 14001).
ISO 27001 está basada en el Ciclo de Mejora Continua o también conocido como «Ciclo de Deming». Todo ello para gestionar los Riesgos de Seguridad. A esto se suma ISO27002 (norma no certificable) la cual aporta los 11 dominios de controles, como conjunto de controles de seguridad de la información.
No hay que confundir Seguridad Informática con Seguridad de la Información, la primera, está orientada a los sistemas de tecnologías de la información. La segunda engloba además de estos, la seguridad física,organizacional y operacional. Por eso es importante distinguir una de otra.
Tampoco debemos confundir la implantación de la LOPD con la de un SGSI basado en ISO 27001, ya que la primera sólo se ocupa de los recursos y de la información que contenga datos de carácter personal. El resto de la información no la tiene en cuenta la LOPD y en ocasiones para una entidad puede incluso tener más relevancia la información industrial,intelectual, dirección de la empresa o de contabilidad que la de carácter personal. Un SGSI fundamentado en la norma UNE-ISO/ IEC27001/ 2007en cambio, engloba todas las anteriores además de la LOPD y otras normativas aplicables a la empresa (ejemplo Ley de Propiedad Inetelctual o LPI).