Il proposito dei programmi legati all’Information Security è quello di proteggere la “risorsa informazione” di enti governativi, aziende private ed aziende pubbliche. Questo programma viene stilato selezionando ed applicando policy specifiche, standard e procedure. Le “mission” aziendali si incrociano armai sempre di più con problematiche legate alla gestione del rischio ed alla sicurezza.
La tendenza alla standardizzazione è divenuta negli ultimi anni un “must”. Quasi tutto ciò che implementiamo segue degli standard. Finalmente anche la gestione della sicurezza informatica e del rischio ha degli standard.
La ISO (International Organization of Standardization) ha pubblicato di recente il “Code of Practice for Information Security Managenent” ISO 17799 e la “British Standard” BS 7799. Questi documenti come l’ISO/TR 13569 per la sicurezza dei servizi bancari e finanziari e la General Accepted Information Systems Security Practices (GASSP), forniscono ai professionisti del settore sicurezza informatica una vera e propria mappa da seguire per la realizzazione degli “Information Security Program”.