secuQUEST orientiert sich an den ISO 2700x Normen. Diese Normen basieren auf dem British Standard BS 7799, der 1995 veröffentlich und schließlich im Jahr 2000 nach einigen Veränderungen als internationale Norm ISO 17799 aufgenommen wurde. Im Jahr 2007 wurde der Standard dann als ISO 27002 in die 27000er Familie aufgenommen, welche sich ausschließlich mit dem Thema Security beschäftigt.

Die ISO 17799 entstand aus einem Code of Practice für Netzwerksicherheit und stellt ein Modell zur Einführung eines Informationssicherheits-Management-Systems (ISMS) dar. Die Norm enthält eine Reihe von Vorschlägen und Best Practices zu verschiedenen Themen der Informationssicherheit. Diese Methoden wurden von Spezialisten aus der Praxis zusammen gestellt und basieren auf deren Erfahrungen und verwendeten Verfahren. Das macht die Norm sehr anwendungsnahe und maßnahmenorientiert.

Ein wichtiger Punkt der Norm ist, dass sie sich nicht nur auf technische bzw. IT-lastige Maßnahmen (Virenscanner, Firewall, Verschlüsselung, etc.) konzentriert, sondern alle Aspekte eines Unternehmens mit einbezieht. Der Themenkreis beginnt hier beim Objektschutz, der Klassifizierung von Dokumenten und geht bis hin zu Guidelines für die Einstellung von neuen Mitarbeitern bzw. zum Management der Security-Architektur selbst.

Ein weiteres Kenzeichen der ISO 17799 Norm ist der Abstraktionslevel. Die Norm geht nicht auf konkrete Applikationen bzw. Lösungen ein, sondern spezifiziert im Detail die nötigen Eigenschaften und das Umfeld der verwendeten Systeme. Es werden keine Aussagen über konkrete Produkte getätigt, wodurch ein hoher Aufwand bei der Aktualisierung vermieden wird. Das macht die resultierende Security Architektur des Unternehmens flexibler in der Umsetzung und einfacher in der Wartung.

Die Norm schafft darüber hinaus auch ein großes Maß an Awareness unter den Mitarbeitern eines Unternehmens. Durch die ständige Konfrontation mit dem Thema Security und den ausführlichen Dokumentationen, die in der Norm vorgesehen sind, wird die Wichtigkeit des Themas Security an die Mitarbeiter kommuniziert. Dies hat den nachhaltigen Vorteil, dass Mitarbeiter in kritischen Situationen besser reagieren können und in weiterer Folge Fehlverhalten vorgebeugt werden kann.