Dejan Kosutic ha publicado varios documentos, muy útiles y aclaratorios, en su página web.

OpenWorkdesk es una aplicación que permite una administración eficiente de documentos, entre otras funcionalidades, lo que puede ser un gran apoyo en un proyecto ISO 27001.

CREST es una organización sin fines de lucro orientada a que sus afiliados puedan demostrar un nivel demostrable de experticia y profesionalismo. Esto con el objeto de asegurarnos que el trabajo que necesitamos se haga por profesionales cualificados y actualizados.
¿Porqué?
Hay un riesgo sustancial para cualquier empresa al invitar a un externo o tercerizar una tarea de PenTest, análisis de seguridad de redes, análisis de aplicaciones web u otras labores similares. Las preguntas que surgen pueden ser:

En general, todas las normas ISO contemplan el entrenamiento, especialmente de los usuarios.

Como OSI o Gerente de Seguridad de la Información, debemos asegurar el entrenamiento y sensibilización de nuestros usuarios, aunque no tengamos el presupuesto que necesitamos, lo que nos obliga a determinar el piso o base mínima, el tiempo que tomaremos de cada usuario, y minimizar los costos, buscando formas creativas de capacitar.

En un excelente artículo, Dejan Kosutic nos presenta siete pasos para la implementación de Políticas y Procedimientos:

1. Estudiar los requisitos
2. Tomar en cuenta los resultados de su evaluación de riesgos
3. Optimizar y alinear sus documentos
4. Estructurar el documento
5. Redactar el documento
6. Conseguir la aprobación del documento
7. Capacitación y concienciación de sus empleados

Un excelente artículo de Dejan Kosutic acerca de
Los 5 grandes mitos sobre ISO 27001

Vale la pena leerlo

El tema de Certificación de Seguridad en Chile aun no se considera con la seriedad que merece, especialmente en el ámbito empresarial, pero deberá repuntar su relevancia en el corto plazo.

Hay una excelente definición en wikipedia, acerca de un SGSI o Sistema de Gestión de Seguridad de la Información.