Bezpečnost informačních systémů, a s tím souvisejících oblastí, je standardizována řadou norem, průmyslových standardů a hodnoticích kritérií. První reálná hodnoticí kritéria pocházejí roku 1985 a byla vydána jako standard amerického ministerstva obrany (tzv. Oranžová kniha) – Trusted Computer System Evaluation Criteria (TCSEC). Tento standard obsahuje 4 skupiny – od nejvyšší A po nejnižší D – a každá skupina obsahuje několik úrovní.
Mezi další bezpečnostní standardy patří od roku 1991 evropská kritéria Information Technology Security Evaluation Criteria (ITSEC) a především od roku 1998 Common Criteria podepsaná v roce vzniku šesti státy – Kanadou, Francií, Německem, Holandskem, Velkou Británií a Spojenými státy.
Z oficiální dokumentace Common Criteria dále vychází standard ISO 15408 – tato norma je dostupná také jako ČSN ISO.
Mezi další normy patří například FIPS 140-1 a FIPS 140-2 vydané Národním institutem pro standardy a technologie roku 1994, respektive 2001.