El Plan Director de Seguridad tiene como objeto determinar los proyectos que deben ser acometidos por la Organización a corto, medio y largo plazo. Para así garantizar una correcta gestión de la seguridad de la información y evitar la materialización de incidentes de seguridad que podrían afectar de forma negativa a la misma.

El Plan Director de Seguridad se define en base a la estrategia de negocio de la Organización y sus necesidades específicas; de modo que la identificación de procesos de negocio y activos que los soportan constituye un aspecto fundamental durante su desarrollo. Para el desarrollo del Plan Director de Seguridad se consideran tanto los aspectos organizativos como los aspectos procedimentales, técnicos y humanos, asociados con la seguridad de los sistemas de información. En el marco de su desarrollo se toma como base la Norma ISO 27002: «Código de Buenas Prácticas para la Gestión de la Seguridad de la Información».

El objetivo de la Evaluación de la Seguridad de los Sistemas de Información (ESSI) es analizar la seguridad de los sistemas de la Organización, determinar las acciones y medidas que deberían ser implantadas y establecer las bases para garantizar una correcta gestión de la misma. El desarrollo de la Evaluación de Seguridad se realiza tomando como base la Norma ISO/IEC 27002: «Código de Buenas Prácticas para la Gestión de la Seguridad de la Información».