ISO/CEI 27110

L'Organisation internationale de normalisation (ISO) est une ONG internationale et indépendante constituée de 163 organismes nationaux de normalisation. La famille de normes ISO/IEC 27000 aide les organisations à gérer la sécurité de leurs actifs informationnels.

La norme ISO/IEC 27110 ("Sécurité de l'information, cybersécurité et protection de la vie privée — Lignes directrices relatives à l'élaboration d'un cadre en matière de cybersécurité") spécifie que tous les cadres de cybersécurité doivent suivre les concepts suivants : Identification, Protection, Détection, Réponse, Récupération. La distinction entre la sécurité des informations et la cybersécurité est également expliquée. Ces consignes sont conformes au Cybersecurity Framework (CSF) du National Institute of Standards and Technology (NIST).

• Identification : le concept d'identification permet d'identifier les personnes, les règles, les processus et la technologie lors de la définition des activités.
• Protection : le concept de protection peut contenir de nombreuses catégories et activités liées à la protection des ressources contre toute utilisation intentionnelle ou non intentionnelle.
• Détection : le concept de détection peut inclure une surveillance traditionnelle des ressources et la détection d'attaque.
• Réponse : le concept de réponse peut inclure les concepts traditionnels de gestion des incidents, ainsi que les règles, les procédures et les plans.
• Récupération : le concept de récupération définit les activités de restauration et de communication effectuées après un événement de cybersécurité.

Les fonctionnalités de gestion des risques de sécurité de Google sont soumises à des audits conformément aux normes ISO/IEC 27001/27002 (Gestion de la sécurité des informations), ISO/IEC 27017 (Sécurité des services cloud), FedRAMP et NIST 800-53. Ces normes s'alignent sur le cadre conceptuel et les conseils recommandés spécifiés dans la norme ISO/IEC 27110 (Identification, Protection, Détection, Réponse, Récupération).