La ISO 27001 nelle clausole 4 e 5, prevede che un’organizzazione definisca il contesto dell’SGSI (Sistema di gestione sicurezza informazioni)  ed i ruoli della leadership dell’organizzazione.

Il contesto dell’organizzazione relativamente alla sicurezza delle informazioni deve, di fatto, identificare l’insieme di interessi che è necessario considerare. L’organizzazione ha interesse nella sicurezza delle informazioni, come pure i clienti, i partner, le autorità legali e normative ecc. Punto di partenza è l’esame di tali interessi con il registro dei rischi.

Una parte di questa attività comporterà identificare l’ambito dell’SGSI, che dipende dal contesto. L’ambito dovrà anche considerare i dispositivi mobili e dei tele-lavoratori (il perimetro dell’organizzazione potrebbe essere mobile e potrebbe includere anche dispositivi di proprietà dei dipendenti).
La struttura di gestione deve anche impostare le attività preliminari all’implementazione; conseguentemente sarà necessario formalizzare alcune misure significative:
• la politica per la sicurezza delle informazioni;
• l’esistenza di risorse adeguate al raggiungimento degli obiettivi;
• la definizione di strategie e/o politiche di comunicazione (sia interna che esterna);
• l’identificazione dei requisiti di competenza.
La struttura di gestione, essenzialmente, comprende tutti i fattori che definiscono i parametri del progetto.