La mise en œuvre de normes internationales reconnues en matière de gestion de la sécurité de l'information est recommandée. À défaut de mise en œuvre d'une norme reconnue, le fournisseur doit démontrer que le système de gestion de la sécurité de l'information répond à des principes garantissant un niveau de sécurité similaire.