Quizás el detalle más significativo en esta nueva versión es que no hay mención específica del modelo PDCA, aunque hay todo un Capítulo (el 10) dedicado al Mejoramiento del proceso.

De cualquier manera, esto no significa que ya no deba usarse el PDCA, sino simplemente que se hace lugar también a otros modelos de mejoramiento continuo.

Una opción podría ser el Six Sigma que trabaja con el ciclo DMAIC (definir las oportunidades, medir el rendimiento, analizar las oportunidades, y mejorar y controlar el rendimiento).

También podría llegarse a aplicar el TQM, es

decir la Gestión de Calidad Total.                            

Además, en la nueva versión se ha ampliado el
tema del tratamiento de riesgos alineándolo con
la ISO 31000 referida a la Gestión de Riesgos de
distinta índole (no sólo de seguridad de la
información) que pueden afectar una
organización.

Por lo demás, obviamente el Anexo A refleja
los controles correspondientes a la nueva versión
de la ISO 27002, listando los objetivos de control y
controles que detalla dicha norma.

Implementación
El proceso de implementación bajo la ISO
27001 comienza con la determinación del Alcance del proyecto, que puede extenderse a todas las actividades de una empresa, o bien a un servicio o área determinados.

A continuación se debe redactar una Política
General, un documento corto pero con el detalle

concreto del Alcance y demás consideraciones
pertinentes, y que debe ser refrendado por las
autoridades máximas de la empresa para poder
luego establecer las responsabilidades
correspondientes.

La selección de controles responde a los
resultados de una adecuada valuación de los
riesgos a que están sujetos los activos a proteger.

En este punto, la ISO 27001 no impone una forma determinada de realizar dicha valuación, pudiéndose recurrir a alguno de los diferentes métodos tanto de libre uso como de herramientas comerciales, aunque es recomendable el marco de trabajo dado por la norma ISO 27005 que se comenta más adelante.

Los resultados de la valuación de riesgos se contrastan con la situación de seguridad existente en un proceso de pre-auditoría que generalmente se realiza por medio de un análisis gap.

De esta manera, ahora los riesgos encontrados deben dar lugar directamente a la determinación de los controles correspondientes, controles que recién después se compararán con los del Anexo A de la ISO
27001

La primera parte del párrafo anterior puede resultar complicada salvo para especialistas con mucha experiencia. Sin embargo, la Nota del inciso b) del punto 6.1.3 de la ISO 27001:2013 acepta que los controles a determinar pueden ser de “cualquier origen”.

En la práctica, la Nota mencionada facilita mantener el tan conocido proceso anterior de trabajo, que consiste en comparar primero los riesgos encontrados con los controles de la ISO 27002, y los controles así seleccionados son los que luego se implementan conforme la ISO 27001 

De una u otra forma, el resultado de esta parte del proceso debe producir la Declaración de Aplicabilidad (SoA) que, por cierto, debe incluir todos los controles implementados o no con los correspondientes motivos.

También, el SGSI resultante puede someterse a auditoría y el proceso de certificación.
Análisis y Tratamiento de los Riesgos En la práctica, el análisis de riesgo puede realizarse a partir de dos enfoques diferentes, considerando las variables con que ocurren los incidentes, o bien estimando la protección que requieren los recursos con sus debilidades y los factores que pueden afectarlos

Método	Descripción	Componentes	Descripción
Leading	Por los factores o Entidades involucradas en el análisis del aseguramiento corporativo	Activos o recursos	Valor que representan para los procesos de negocio de la empresa.
		Vulnerabilidades	Que tengan esos Activos.
		Amenazas	Que puedan explotar dichas vulnerabilidades
Lagging	Por las Pérdidas que ocasiona un incidente de seguridad conforme datos históricos propios o de terceros.	Frecuencia de ocurrencia	De cada incidente
		Impacto	Monetario que causa el incidente al producirse.