Działalność banków jest regulowana w każdym kraju przez nadzór bankowy. Koordynacją tych działań w skali międzynarodowej zajmuje się Bazylejski Komitet Nadzoru Bankowego. W 1988 roku Bazylejski Komitet ds. Nadzoru Bankowego uchwalił tzw. Bazylejską Umowę Kapitałową (Basel I). Umowa ta wprowadziła ważone ryzykiem wymogi kapitałowe zarówno dla pozycji bilansowych jak i pozabilansowych. Umowa ta stanowiła pierwszą międzynarodową umowę dotyczącą wymogów kapitałowych o kompleksowym charakterze, która ustanawiała równe warunki działalności dla banków aktywnych na rynku międzynarodowym.

W czerwcu 2004 r. Bazylejski Komitet ds. Nadzoru Bankowego opublikował ostateczną wersję Nowej Umowy Kapitałowej (Basel II).

Nowa Umowa Kapitałowa (Basel II) jest efektem dążenia do unowocześnienia dotychczasowych regulacji. Ostatecznym celem jest wzmocnienie stabilności międzynarodowego systemu bankowego i zapewnienie przejrzystych i jednolitych reguł konkurencji pomiędzy bankami w tym obszarze. Banki zyskują znacznie szersze kompetencje w zakresie szacowania ryzyka i adekwatności kapitałowej, zaś ciążące na nich wymogi zostają powiązane z ratingami banków. Oprócz analizy ryzyka kapitałowego i rynkowego (np. z tytułu zmiany kursów walut) istotnym elementem Basel II jest analiza ryzyka operacyjnego, które wiąże się z konsekwencjami tego, że coś nie zadziała w standardowych procedurach bankowych, że bieg spraw na skutek celowego działania, ludzkiego błędu, zaniechania czy przypadków losowych potoczy się nie tym trybem, co powinien. Skuteczne analizowanie ryzyka operacyjnego jest więc możliwe w instytucjach o dojrzałej kulturze organizacyjnej.

BS 7799-1 jest to brytyjski standard opracowany przez BSI. Standard ten definiuje wytyczne w zakresie ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądania, utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.

Standard ten zastąpiony został przez międzynarodową normę ISO/IEC 17799:2000 a jej najnowsza wersja to ISO/IEC 17799:2005.

BS 7799-2 jest to brytyjski standard opracowany przez BSI. Standard ten definiuje wymagania w zakresie ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądania, utrzymania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji. PKN opracował polskie tłumaczenie tej normy – PN-I-07799-2.

Standard ten zastąpiony został przez międzynarodową normę ISO/IEC 27001:2005.

C-TPAT – ang. Customs-Trade Partnership Against Terrorism to wspólne przedsięwzięcie administracji rządowej i kręgów gospodarczych, mające na celu zapewnienie łańcuchom dostaw najwyższej ochrony przed działaniami terrorystycznymi.

COBIT (ang. Control Objectives for Information and related Technology) jest metodyką utworzoną poprzez zbiór celów kontrolnych dla technologii informacyjnych i powiązanych. Jest to zestawienie dobrych praktyk do zarządzania IT utworzonych w 1992 roku przez stowarzyszenie ISACA oraz IT Governance Institute. Obecnie obowiązuje czwarta edycja tego pakietu.

Komitet Sponsorowanych Organizacji (The Committee of Sponsoring Organizations - COSO) był pierwszym, ogólnym modelem kontroli wewnętrznej, który został zaakceptowany przez szerokie grono profesjonalistów.

CSI – ang. Container Security Initiative – stworzona przez władze celne USA w celu ochrony handlu międzynarodowego i strumieni wymiany międzynarodowej pomiędzy portami, z których nadawane są kontenery do USA.

Norma zawiera wytyczne dotyczące zarządzania programami audytów, prowadzenia wewnętrznych lub zewnętrznych audytów systemów zarządzania, jak również dotyczące kompetencji i oceny audytorów.

Norma ISO 15408 opracowana została na podstawie wyników projektu Common Criteria. Kryteria zdefiniowane w tej normie mogą być wykorzystane jako podstawa do oceny właściwości zabezpieczeń produktów i systemów teleinformatycznych.

Międzynarodowa norma ISO 17799 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji) określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

6 lipca 2007 roku norma przemianowana została z ISO/IEC 17799:2005 na ISO/IEC 27002:2005

Celem opracowania grupy norm ISO 27000 jest zebranie i ujednolicenie dotychczasowych opracowań i standardów poświęconych bezpieczeństwu informacji.

Międzynarodowa norma ISO 27001 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

Międzynarodowa norma ISO 27002 (Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji) określa wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

Norma ISO/PAS 28000:2005 - Wymagania dla systemu zarządzania bezpieczeństwem łańcucha dostaw - obejmuje obszar zarządzania bezpieczeństwem łańcucha dostaw. Podstawą systemu spełniającego wymagania normy jest ocena ryzyka dla poszczególnych elmentów procesów.

Norma ISO/PAS 28003:2006 zawiera wymagania dla jednostek certyfikacyjnych, które poddają ocenie System Zarządzania Bezpieczeństwem Łańcucha Dostaw.

Metodyka MARION (Mission Analysis and Risk Impact on Operations Network-tool) ma zastosowanie do oceny wdrożonej w organizacji polityki bezpieczeństwa oraz dokumentacji związanej, jak również dokumentacji spełniającej wymagania prawne. Związek Banków Polskich zaleca tą metodykę jako element przeprowadzania audytów bezpieczeństwa w instytucjach sektora finansowego. Korzystanie z metodyki jest bezpłatne.

The Open Source Security Testing Methodology Manual to podręcznik prezentujący metodykę prowadzenia testów bezpieczeństwa opracowaną przez organizację ISECOM (Institute for Security and Open Methodologies). OSSTM zawiera zbiór wytycznych określających zakres obszarów środowiska informatycznego, które powinny zostać objęte weryfikacją oraz cel ich realizacji. OSSTM dotyczy testów prowadzonych z zewnątrz środowiska informatycznego i odnosi się m.in. do znanych słabych punktów systemu, przecieków informacji oraz odchyleń od uregulowań prawnych, standardów branżowych i najlepszych praktyk.

PN-I-02000:2002 – Technika informatyczna – Zabezpieczenia w systemach informatycznych – Terminologia
Norma ta stanowi opracowanie mające na celu unormowanie terminologii polskiej dotyczącej bezpieczeństwa systemów informatycznych i ochrony informacji.

Rekomendacja D wydane przez GINB dotyczy zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki.

Celem uchwalenia w USA w 2002 roku ustawy Sarbanes–Oxley było przywrócenie zaufania inwestorów oraz podniesienie wymagań w zakresie efektywności kontroli wewnętrznej podmiotów zarejestrowanych w US Securities Exchange Commission („SEC”). Środkiem do osiągnięcia tego celu jest dwustopniowy system wewnętrznej kontroli procesów związanych z raportowaniem finansowym. Obowiązek przestrzegania ustawy SOX mają amerykańskie spółki publiczne i firmy od nich zależne, w tym także polskie oddziały koncernów wywodzących się z USA.

TISM (Total Information Security Management) może być zastosowana do ochrony najcenniejszych informacji firmowych stanowiących tajemnicę przedsiębiorstwa oraz innych informacji prawnie chronionych.