Assurer le fonctionnement continu et la protection d'un Système d'Information n'est plus aujourd'hui considéré comme un simple exploit mais plutôt une nécessité. Parmi toutes les tâches qui incombent aux Responsables de la Sécurité des Systèmes d'Information (R.S.S.I) dans les organismes privés ou publics, celle qui consiste à bâtir une politique de sécurité cohérente prenant en compte les aspects humains, organisationnels et juridiques est certainement la plus difficile. Une telle politique doit se baser sur une norme bien spécifique. En effet, il existe de nombreuses normes et méthodes sur lesquelles se basent les missions d'audit de la sécurité des systèmes d’information.
Une norme (qui peut être organisationnelle ou technique) a un objet souvent très vaste et s'appuie généralement sur des concepts ou des notions générales. Le champ d'application de chaque concept doit alors être précisé, pour que la norme puisse être appliquée efficacement.
- La Norme ISO/IEC 27001 : définit les exigences en matière de mise en place d’un système de management de la sécurité de l’information et est la seule norme de certification parmi la famille des normes 2700x. Elle est naturellement, alignée avec un certain nombre d'autres matières, y compris ISO 9000 (gestion de qualité) et ISO 14000 (gestion environnementale).
- La Norme ISO/IEC 27002 : Référentiel de bonnes pratiques pour le management de la sécurité de l’information. Elle constitue l’annexe A de la norme ISO/IEC 27001.
- La Norme ISO/IEC 27003 se concentre sur les aspects essentiels nécessaires pour la conception et la mise en œuvre réussie d'un système de management de la sécurité de l'information (SMSI) en conformité avec la norme ISO / IEC 27001:2013.
- La Norme ISO/IEC 27004 La norme ISO/IEC 27004:2009 fournit des lignes directrices sur le développement et l'utilisation des mesures afin d'évaluer l'efficacité du système de gestion de la sécurité de l'information (SMSI) et des contrôles mis en place, comme spécifié dans la norme ISO/IEC 27001.
- La Norme ISO/IEC 27005 La norme ISO 27005 fixe un cadre pour la gestion des risques de sécurité de l'information. Elle fournit ainsi les conditions à respecter par toute démarche méthodologique. S'y conformer permet de garantir que les principes communément reconnus ont été appliqués. La norme constitue une référence utile pour les faire respecter, sans préjuger des méthodes et outils nécessaires pour les mettre en œuvre.