En mye brukt standardserie for informasjonssikkerhetsledelse er ISO 27000. Her gis man rammeverk for å utvikle et fullstendig sikkerhetsopplegg:
- ISO 27001 handler om ledelse. Man skal etablere et system for informasjonssikkerhetsledelse (ISMS). Standarden tar for seg hva man har ansvar for. Som å definere objektiver og etterhvert måle oppfyllelse av disse. Man vil som regel begynne med en risikoanalyse for å finne ut hvilke sikkerhetskontroller som er passende (etter ISO 27002).
- ISO 27002 tar for seg detaljerte informasjonssikkerhetskontroller og kan ses på som beste praksis. Hvor mange man trenger å implementere i egen virksomhet vil være avhengig av hva som avdekkes etter ISO 27001.
- ISO 27003 gir tips og råd for hvordan man skal implementere ISMS-ledelseskontroller.
- ISO 27004, ISO 27005 og ISO 27006 finnes også, men er mindre brukt.
TBC