ISO/IEC 27110

La International Organization for Standardization (organización internacional para la estandarización), comúnmente denominada ISO, es una organización no gubernamental a la que pertenecen 163 cuerpos normativos de distintas naciones. La familia de normas ISO/IEC 27000 son un conjunto de normas que ayudan a las organizaciones a proteger sus recursos relacionados con la información.

ISO/IEC 27110, "La tecnología de la información, la ciberseguridad y la protección de la privacidad: directrices de desarrollo del framework de ciberseguridad" especifica que todos los frameworks de ciberseguridad deben tener los siguientes conceptos: Identifica, protege, detecta, responde y recupera. También se distingue entre la seguridad de la información y la ciberseguridad. Estas directrices se adaptan al arquitecto de ciberseguridad de NIST (CSF).

• Identificar: los conceptos sirven para identificar a las personas, las políticas, los procesos y la tecnología a la hora de definir el alcance de las actividades.
• Protección: el concepto de Protect puede contener muchas categorías y actividades relacionadas con la protección de los recursos frente a usos inadecuados intencionados o involuntarios. 
• Detectar: el concepto de Detectar puede incluir la supervisión de recursos tradicional y la detección de ataques.
• Respuesta: El concepto de respuesta puede incluir los conceptos tradicionales de respuesta a incidentes, así como las políticas, los procedimientos y los planes. 
• Recuperación: las actividades del concepto de recuperación definen las actividades de restauración y comunicación relacionadas después de un evento de ciberseguridad.

Las funciones de gestión de riesgos de seguridad de Google se someten a auditorías como ISO/IEC 27001/27002 (gestión de la seguridad de la información), ISO/IEC 27017 (seguridad en la nube), FedRAMP y NIST 800-53, que cumplen los dos con el framework conceptual y las recomendaciones de la norma ISO/IEC 27110 (Identifica, Protect, Detect, Respuesta y recuperación).