Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport Techniczny - ISO/IEC TR 13335, składający się z pięciu części, z których pierwsza obowiązuje od roku jako Polska Norma. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje:
* ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych:
- terminologia, związki między pojęciami,
- podstawowe modele.
* ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych:
- różne podejścia do prowadzenia analizy ryzyka,
- plany zabezpieczeń,
- rola szkoleń i działań uświadamiających,
- stanowiska pracy w instytucji związane z bezpieczeństwem.
* ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych:
- formułowanie trój poziomowej polityki bezpieczeństwa,
- rozwinięcie problematyki analizy ryzyka,
- rozwinięcie problematyki implementacji planu zabezpieczeń,
- reagowanie na incydenty.
* ISO/IEC/TR 13335-4: Wybór zabezpieczeń:
- klasyfikacja i charakterystyka różnych form zabezpieczeń,
- dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu.
* ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi:
- dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną.
Oprócz dokumentów ISO istnieje szereg zaleceń zawierających wytyczne w zakresie ochrony systemów teleinformatycznych o zasięgu raczej lokalnym, dotyczących kraju, grupy krajów lub grupy użytkowników, np. Internetu. Dokumenty tego typu, opracowane w sposób dość szczegółowy, stanowią cenne uzupełnienie norm ISO/IEC. Należy przypuszczać, że na ich podstawie niebawem powstaną normy międzynarodowe.
Ponadto istnieje wiele standardów związanych z bezpieczeństwem teleinformatycznym, które pośrednio dotykają problematyki zarządzania bezpieczeństwem informacji. Do tej grupy należy zaliczyć przede wszystkim Wspólne Kryteria do Oceny Zabezpieczeń Teleinformatyki, które uzyskały status normy ISO (ISO/IEC 15408). Na uwagę zasługują także standardy FIPS, np. do oceny modułów kryptograficznych, standardy związane z infrastrukturą klucza publicznego, podpisem elektronicznym, zabezpieczeniami kryptograficznymi, kartami elektronicznymi i jeszcze z wieloma innymi zagadnieniami szczegółowymi z obszaru bezpieczeństwa.
Politechnika Rzeszowska im. Ignacego Łukasiewicza Zakład Systemów Rozproszonych Rzeszów 2002