Esta sección de las directrices aporta un punto de referencia de alto nivel para la gestión de la seguridad y privacidad de la información en las instituciones de seguridad social. Las ocho directrices que siguen a continuación, constituyen un punto de arranque a partir del cual las instituciones pueden desarrollar sus propios planes y políticas, y ayudarán a abordar los desafíos de la seguridad de la información, a través de un enfoque coherente y basado en estándares. También se dirigen a una mayor sensibilidad respecto de los riesgos de seguridad para los activos de la información y para indicar de qué manera tratarlos.
La orientación se basa en principios bien reconocidos y en las mejores prácticas relacionadas con la planificación, la gestión del riesgo y la medición del rendimiento. Se extrajo de diversos instrumentos, directrices e informes en materia de políticas de varias jurisdicciones, y de contribuciones de la industria privada, de profesionales de las instituciones de seguridad social y de organismos normativos como la Organización Internacional de Normalización (ISO), el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology – NIST) y la Information Systems Audit and Control Association (ISACA).
Estas ocho directrices se orientan al personal, a los ejecutivos y gestores de las TIC responsables de la seguridad de los activos de la información y al personal responsable de iniciar, implementar o supervisar la gestión del riesgo y la seguridad de la información dentro de sus organizaciones. También pueden ser de utilidad para los gestores del riesgo corporativo departamental, los planificadores estratégicos, los coordinadores y otros especialistas que desempeñan un papel importante en ayudar a integrar la seguridad social en la gestión del riesgo corporativo, la planificación y la medición del rendimiento.
Estas directrices pueden aplicarse en cualquier etapa de una actividad, función, proyecto, producto o activo que implique una información. Mientras que la gestión de la seguridad de la información se aplica en general para completar los sistemas y medios de información, también puede centrarse en los componentes individuales del sistema o en los servicios en los que esto es factible y útil.