Na família de padrões ISO/IEC 27.000, que trata da Segurança da Informação nas corporações, o padrão específico que aborda as formas de avaliação de um Sistema de Gerenciamento de Segurança da Informação (ISMS – Information Security Management System), incluindo métricas, medições, relatórios e formas de aprimoramento de um ISMS é: