Esta seção das diretrizes fornece um ponto de referência de alto nível para o gerenciamento da segurança e privacidade das informações nas instituições de segurança social. As diretrizes a seguir formam um ponto de partida a partir do qual as instituições podem desenvolver suas próprias políticas e planos e ajudarão a enfrentar os desafios da segurança da informação por meio de uma abordagem consistente e baseada em padrões. Eles também pretendem aumentar a conscientização sobre os riscos à segurança dos ativos de informação e indicar como lidar com eles.

As orientações são baseadas em princípios bem reconhecidos e nas melhores práticas relacionadas ao planejamento, gerenciamento de riscos e medição de desempenho. Ele foi extraído de vários instrumentos de política, diretrizes e relatórios de várias jurisdições e contribuições da indústria privada, profissionais de instituições de segurança social e órgãos de padronização, como a Organização Internacional de Padronização (ISO), Instituto Nacional de Padrões e Tecnologia (NIST) e Associação de Auditoria e Controle de Sistemas de Informação (ISACA).

Essas diretrizes são orientadas para a equipe de TIC, executivos e gerentes responsáveis ​​pela segurança dos ativos de informações e a equipe responsável por iniciar, implementar e / ou monitorar o gerenciamento de riscos e a segurança das informações em suas organizações. Eles também podem ser úteis para gerentes de risco corporativos departamentais, planejadores estratégicos, coordenadores e outros especialistas que desempenham um papel importante ao ajudar a integrar a segurança ao gerenciamento de riscos corporativos, planejamento e medição de desempenho.

Essas diretrizes podem ser aplicadas em qualquer estágio de uma atividade, função, projeto, produto ou ativo que envolva informações. Embora o gerenciamento da segurança da informação seja geralmente aplicado a sistemas e instalações completos, ele também pode se concentrar em componentes ou serviços individuais do sistema, quando isso for praticável e útil.