On distingue en sécurité de l'information plusieurs aspects, qui sont d'ailleurs liés aux données :
La norme (Une norme, du latin norma (« équerre, règle ») désigne un...) ISO 13335 (qui n'existe qu'en anglais) mentionne également la non-répudiation, la gestion de la preuve (imputabilité), et l'authentification :
Les critères communs (Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des...) (en anglais common criteria), définis au niveau international, doivent être documentés sous la forme de profils de protection, ceux-ci étant des informations essentielles pour s'assurer de la sécurité des informations, au plus haut niveau.
En urbanisation des systèmes d'information, en préalable à l'établissement de toute cartographie (La cartographie désigne la réalisation et l'étude des cartes géographiques. Le...) des données, il est nécessaire de procéder à l'« alignement stratégique », dans lequel la définition (Une définition est un discours qui dit ce qu'est une chose ou ce que signifie un nom. D'où la...) du profil de protection est l'un des principaux prérequis.
Les professionnels de la sécurité des systèmes d'information reconnaissent trois types d'acteurs de la sécurité :
En 1991, l'Europe (L’Europe est une région terrestre qui peut être considérée comme un...) a défini un standard d'organisation (Une organisation est) de politique de sécurité, ITSEC, qui n'a pas obtenu le statut de norme internationale (ISO).
Dans chaque grande entreprise, on trouve un responsable de la sécurité des systèmes d'information (RSSI), qui dépend hiérarchiquement du directeur informatique (L´informatique - contraction d´information et automatique - est le domaine...) ou du directeur de la sécurité selon les cas. Si le RSSI dépend hiérarchiquement du directeur de la sécurité, il a des relations fonctionnelles avec le (ou les) directeurs informatiques (et réciproquement).
L'organisation de la sécurité des données (En sécurité des systèmes d'information, la sécurité des données est...) est une partie essentielle de la sécurité des systèmes d'information. Elle doit être définie dans une politique de sécurité des systèmes d'information.
Cette politique doit indiquer les rôles respectifs des acteurs de l'entreprise et des tiers de confiance (Un tiers de confiance est un organisme habilité à mettre en œuvre des signatures...) dans le processus de certification.
Une analyse globale par les données permettra de décliner la PSSI en politiques spécialisées (système informatique, réseaux…).
Les normes applicables sont :
Sur les métadonnées en particulier, voir Normalisation des métadonnées.
Sur la gestion de la preuve ou imputabilité (records management en anglais), voir ISO 15489 et Métadonnées et traçabilité.
La norme ISO 27000 est une norme générale sur la sécurité du système d'information.
Pour l'application de la norme ISO 15408, en France, il existe cinq CESTI (centres d'évaluation de la sécurité des technologies de l'information) chargés de l'évaluation :
En dernière instance, c'est la ANSSI qui valide l'agrément et délivre le certificat.