ISO 27000
ISO proporciona un marc per a la normalització de la Gestió de la Seguretat de la Informació amb el conjunt de normatives ISO/IEC 27000.
Aquest conjunt de normatives són aplicables a empreses publiques o privades, ja siguin petites, mitjanes o grans. Algunes d'aquestes normatives estan totalment desenvolupades, mentre que d'altres estan en procés de desenvolupament, amb algun esborrany públic ja existent.
La normativa ISO 27001 determina la dinàmica del funcionament d'un SGSI (Sistema de Gestió de la Seguretat de la Informació) de forma general, que es basarà en uns documents de seguretat on es descriuran els actius (conjunts d'informació), els riscos potencials, i com afecten aquests riscos als actius inventariats.
La normativa ISO 27001 té un annex A on es descriuen els controls que s'han d'implementar sobre el sistema informàtic per tal de poder avaluar regularment quin és el grau de compliment de la normativa. Aquest annex serà substituit per la ISO 27002.
Politica Plan-Do-Check-Act
ISO 27001 proposa una estratègia de cicle, PDCA (Pla-Do-Check-Act). La P i la D fan referència a la planificació (el·laboració dels documents de seguretat) i al desenvolupament de la normativa (amb les actuacions que es creguin convenients). La C (Check) fa referencia a la avaluació continuada dels controls proposats al annex A (no tots són obligatoris) i la A (Act) fa referència a la actuació necessària quan les mesures dels controls no són satisfactòries. Normalment la actuació (A) acabarà canviant la planificació (documents) i tornarem a començar amb el clicle PDCA.