ISO/IEC 27110

国际标准化组织 (ISO) 是一个独立的国际性非政府组织，其国际成员包括 163 个国家级标准机构。ISO/IEC 27000 系列标准可帮助各组织保障信息资产安全。

ISO/IEC 27110，“信息技术，网络安全与隐私保护 | 信息安全框架开发指南”指定所有信息安全框架都应具有以下概念：识别、保护、检测、恢复、恢复。还概述了信息安全与网络安全之间的区别。这些指南符合 NIST Cybersecurity Framework (CSF) 的要求。

• 确定：确定概念在定义活动范围时涵盖的人员、政策、流程和技术。
• 保护：保护概念可能包含许多类别和活动，这些类别和活动与保护资产免遭有意或无意滥用有关。 
• 检测：检测概念可能包括传统的资产监控和攻击检测。
• 响应：响应概念可以包括传统的突发事件响应概念以及政策、程序和计划。
• 恢复：“恢复”概念中的活动定义了在信息安全事件发生后恢复和通信相关的活动。

Google 的安全风险管理功能由 ISO/IEC 27001/27002（信息安全管理）、ISO/IEC 27017（云安全）、FedRAMP 和 NIST 800-53 进行审核并遵循 ISO/IEC 27110 中规定的概念框架和建议的指南（识别、保护、检测、响应、恢复）。