Assurer le fonctionnement continu et la protection d'un Système d'Information n'est plus aujourd'hui considéré comme un simple exploit mais plutôt une nécessité. Parmi toutes les tâches qui incombent aux Responsables de la Sécurité des Systèmes d'Information (R.S.S.I) dans les organismes privés ou publics, celle qui consiste à bâtir une politique de sécurité cohérente prenant en compte les aspects humains, organisationnels et juridiques est certainement la plus difficile. Une telle politique doit se baser sur une norme bien spécifique. En effet, il existe de nombreuses normes et méthodes sur lesquelles se basent les missions d'audit de la sécurité des systèmes d’information.
Une norme (qui peut être organisationnelle ou technique) a un objet souvent très vaste et s'appuie généralement sur des concepts ou des notions générales. Le champ d'application de chaque concept doit alors être précisé, pour que la norme puisse être appliquée efficacement.
- La Norme ISO/IEC 27001 : définit les exigences en matière de mise en place d’un système de management de la sécurité de l’information. Elle est alignée avec les autres normes de système de management, y compris ISO 9001 (management de la qualité) et ISO 14001 (management environnemental).
- La Norme ISO/IEC 27004 fournit des lignes directrices sur le développement et l'utilisation des mesures afin d'évaluer l'efficacité du système de gestion de la sécurité de l'information (SMSI) et des contrôles mis en place, comme spécifié dans la norme ISO/IEC 27001.
- La Norme ISO/IEC 27005 fixe un cadre pour la gestion des risques de sécurité de l'information. Elle fournit ainsi les conditions à respecter par toute démarche méthodologique. S'y conformer permet de garantir que les principes communément reconnus ont été appliqués. La norme constitue une référence utile pour les faire respecter, sans préjuger des méthodes et outils nécessaires pour les mettre en œuvre.