Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes d’information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente.
L’ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour obtenir une certification (27001 et 27006), les autres ne sont que des guides :

• l'ISO 17799 sera renommé en 27002, le 1er avril 2007.
• l'ISO 27006 est en cours de fabrication -sortie prévue fin novembre.
• l'ISO 27004 et l'ISO 27005 sont à l'état de drafts avancés.

Normes ISO 27001, BS 7799-2

La norme ISO 27001, publiée en Novembre 2005, définit la Politique du Management de la Sécurité des SI au sein d'une entreprise. Elle est issue de la BS 7799-2:1999 Specification for information security management systems qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire.
La norme ISO 27001 comprend 6 domaines de processus :

• 1. Définir une politique de la sécurité des informations,
• 2. Définir le périmètre du Système de Management de la sécurité de l'information,
• 3. Réaliser une évaluation des risques liés à la sécurité,
• 4. Gérer les risques identifiés,
• 5. Choisir et mettre en oeuvre les contrôles, li>6. Préparer un SoA ( "statement of applicability").

Comme ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place d’une boucle d’amélioration (PDCA).

Normes BS 7799, ISO 17799 et ISO 27002

La norme ISO 17799 (2005), prochainement renommée 27002, est directement tirée de la BS 7799-1 (créée par le BSI British Standard Institute).
Elle correspond à un niveau de détail plus fin que la 27001 et spécifie une Poltique de la Sécurité des Systèmes d'Information. C'est une liste détaillée et commentée de mesures de sécurité. Cette norme est un guide de Bonnes Pratiques (Best Practices) pour maîtriser la sécurité d'un système d'information. Plusieurs versions de la BS 7799 ont été élaborées depuis le début des années 1990 et la dernière est devenue la norme ISO/IEC 17799.

Sécurité des systèmes d'information

Schématiquement, la démarche de sécurisation du système d'information doit passer par 4 étapes de définition :

• 1. périmètre à protéger (liste des biens sensibles),
• 2. nature des menaces,
• 3. impact sur le système d'information,
• 4. mesures de protection à mettre en place.

L’ ISO 17799 donne des exemples et des indications sur les niveaux 1 à 3, mais ne traite vraiment que le niveau 4 (et en partie seulement), en listant ce qui est nécessaire de mettre en place, sans toutefois préciser en détail comment.
La norme ISO 17799 comporte 39 catégories de contrôle et 133 points de vérification répartis en 11 domaines :

• 1. Politique de sécurité
• 2. Organisation de la sécurité :
  - organisation humaine, implication hiérarchique,
  - notion de propriétaire d’une information et mode de classification,
  - évaluation des nouvelles informations,
  - mode d’accès aux informations par une tierce partie,
  - cas de l’externalisation des informations.
• 3. Classification et contrôle des biens
• 4. Sécurité du personnel
• 5. Sécurité physique
  - organisation des locaux et des accès,
  - protection contre les risques physiques (incendies, inondations...)
  - systèmes de surveillance et d’alerte,
  - sécurité des locaux ouverts et des documents circulant.
• 6. Communication et exploitation:
  - prise en compte de la sécurité dans les procédures de l’entreprise,
  - mise en oeuvre des systèmes de sécurisation (anti-virus, alarmes..),
• 7. Contrôle d'accès:
  - définition des niveaux d’utilisateurs et de leur droit d’accès,
  - gestion dans le temps des droits,
• 8. Acquisition, développement et maintenance des systèmes
• 9. Gestion des incidents
• 10. Management de la continuité de service
• 11. Conformité:
  - dispositions réglementaires
  - dispositions légales
  - dispositions internes (Politique)

Essentiellement pragmatique, la norme n'impose pas d'autre formalisme que la mise en place d'une organisation qui garantit un bon niveau de sécurité au fil du temps.
Elle est orientée processus et déborde de ce fait des simples aspects de technique informatique. Elle s'intéresse à l'organisation du personnel ainsi qu'aux problèmes de sécurité physique (accès, locaux...).

Norme ISO 13335

"Guidelines for the management of IT Security" (Directives pour la gestion de la sécurité des Technologies d'information) Cette norme qui existe depuis plus de 10 ans, est d'un niveau de détail plus fin que la 17799 et porte sur des directives concrètes pour la sécurité IT. Elle comporte quatre parties, dont la plus connue (partie 1 : Concepts et modèles pour la gestion de la sécurité des technologies de l'information et des communications) a été réactualisée en 2004 . Les rapports techniques sont actuellement décomposés en 4 documents qui vont être refondus en 2 sous-ensembles.
Une partie va devenir une norme internationale ISO :

• ISO/IEC IS 13335-1 (version 2004) : Concepts et modèles pour le management de la sécurité des TIC
• ISO/IEC IS 13335-2 (en cours de révision) : Techniques de gestion des risques pour les TIC

Une partie restera sous forme de rapport technique (Technical Report : TR) :

• ISO/IEC TR 13335-4 2000: Sélection de mesures de sécurité
• ISO/IEC TR 13335-5 2001: Guide pour la gestion de sécurité du réseau

La 13335 est référencée dans la 27001 pour l'analyse des risques. On y décrit en particulier une analyse de risque, au même niveau que les méthodes EBIOS ou MEHARI.

Critères communs, ISO 15408

ISO 15408 (1999) propose des critères communs d'évaluation de la sécurité des technologies de l'information (Common Criteria (CC) for Information Technology Security Evaluation). Destinée avant tout aux industriels du secteur informatique, elle permet l'évaluation des produits (matériels, logiciels) au niveau international. Ce référentiel définit les procédures et les mesures techniques dans le cycle de vie d'un Système d'Information pour fournir une base de comparaison sur les caractéristiques de sécurité.

Principe de l'amélioration continue : modèle PDCA

Pour garantir que la sécurité reste optimale au fil du temps, la norme BS 7799 utilise le principe de l'amélioration continue suivant le modèle PDCA qui se définit en 4 étapes récurrentes :

• Plan : planifier,
• Do : mettre en œuvre,
• Check : vérifier,
• Act : améliorer.