El plan director de seguridad consiste en un conjunto de proyectos destinados a gestionar y garantizar la seguridad de la información de la organización, mediante la reducción de los riesgos a los que están expuestos los sistemas informáticos hasta conseguir un nivel aceptable.
El plan director de seguridad debe partir de un análisis de la situación inicial de la organización en materia de seguridad informática y estar alineado con los objetivos estratégicos de la empresa.
El plan director de seguridad de la información incluye una definición de su alcance, así como las obligaciones y buenas prácticas de seguridad que deben cumplir los trabajadores de la organización y los colaboradores externos.
Los principales objetivos de este tipo de planes se pueden agrupar en tres puntos clave: evaluar la situación inicial y el entorno para identificar los riesgos para la seguridad de la información, identificar las áreas de la organización que se encuentran más expuestas a estos riesgos en función de la gravedad del impacto y la probabilidad de que sucedan, y adoptar las medidas necesarias para minimizarlos.