En la actualidad, con la importante presencia de las tecnologías de información y comunicación dentro de las organizaciones y el creciente volumen de información que se maneja dentro de las empresas, sumado a la tendencia –cada vez más persistente- de estar interconectado, las organizaciones se ven expuestas a una cantidad de retos y amenazas que son cada vez más sofisticadas y que les obliga a proteger la información por ser uno de sus activos más valiosos. Esto ha obligado a que las empresas adopten sistemas para gestionar la seguridad de la información, los cuales deberían ser adecuados a los estándares internacionales. De estos estándares, se pueden destacar la ISO/IEC 27001:2013 e ISO/IEC 27002:2013, que ofrecen una guía de objetivos y controles que permiten –de una manera práctica- la implantación de un sistema que gestione la seguridad de la información de una forma adecuada y acorde con los objetivos de negocio de la empresa. Por lo antes expuesto, el presente proyecto, tiene como propósito mostrar el proceso a seguir -fase a fase-, para la elaboración de un plan de implementación de la norma ISO/IEC 27001:2013 en una mediana empresa.