ISO 17799 to przestarzały standard bezpieczeństwa informacji przyjęty przez Międzynarodową Organizację Normalizacyjną (ISO) w 2000 roku. Kodeks postępowania, wywodzący się z brytyjskiej normy znanej jako BS7799, określał najlepsze praktyki dotyczące poufności, integralności i dostępności informacji w ramach organizacja. Oficjalnie znany jako ISO/IEC 17799, norma ta miała na celu pokierowanie personelem zarządzającym informacją odpowiedzialnym za tworzenie systemów bezpieczeństwa. Poruszone tematy obejmowały definiowanie terminów bezpieczeństwa informacji, klasyfikowanie typów informacji, określanie minimalnych wymagań oraz sugerowanie odpowiednich reakcji na naruszenia bezpieczeństwa.
Do 2005 r. postęp technologiczny wymusił wprowadzenie poprawek do normy ISO 17799 w celu dostosowania do ówczesnych praktyk i możliwości. Powszechną praktyką ISO jest aktualizowanie norm co kilka lat, aby zapewnić, że wytyczne, kodeksy postępowania i normy są odpowiednie i odzwierciedlają obecne technologie i międzynarodowe filozofie biznesowe. W wyniku zmian wprowadzonych w 2005 r. norma ISO 17799 stała się znana jako ISO/IEC 17799:2005. Aby pomóc odróżnić różne wcielenia ISO 17799, pierwotny standard stał się znany jako ISO/IEC 17799:2000.
W 2007 roku ISO i Międzynarodowa Komisja Elektrotechniczna (IEC) zmieniły numerację normy ISO 17799, oznaczając ją jako ISO/IEC 27002. Często określana jako rodzina norm ISMS, seria ISO 27000 dotyczy wyłącznie systemów zarządzania bezpieczeństwem informacji lub ISMS . Zmiana numeracji ISO 17799 umożliwiła urzędnikom ISO/IEC pogrupowanie przyszłych norm bezpieczeństwa w jedną kategorię wytycznych w celu łatwego odniesienia. Niewiele zmian w standardzie miało miejsce w 2007 roku, ponieważ wybór zmiany numeracji takich standardów był czysto administracyjną zmianą w celu zaspokojenia przewidywanych przyszłych potrzeb.
Od początku ISO 17799 zajmowało się takimi kwestiami jak polityka bezpieczeństwa, kontrola dostępu, definiowanie rodzajów informacji, rozwój systemów informatycznych, ocena ryzyka. Liderzy organizacji mogliby wykorzystać ISO 17799 jako przewodnik przy opracowywaniu systemów informatycznych i zapewnianiu bezpieczeństwa takich systemów. Dodatkowe wytyczne dotyczące nabywania istniejących systemów, jak to zwykle ma miejsce w przypadku fuzji biznesowych, nakreśliły kroki mające na celu utrzymanie bezpieczeństwa informacji bez ograniczania dostępu do kluczowego personelu. Zalecenia dotyczące opracowywania praktyk bezpieczeństwa oraz postępowania z przypadkami naruszeń bezpieczeństwa zostały również zawarte w pierwszej normie ISO 17799.
Pierwotnie kompletna norma ISO 17799 obejmowała jedenaście sekcji tematycznych. Sekcje te obejmowały politykę bezpieczeństwa, organizację bezpieczeństwa informacji, zarządzanie zasobami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie komunikacją i operacjami, kontrolę dostępu, pozyskiwanie systemów informatycznych, zarządzanie incydentami, zarządzanie ciągłością działania i zgodność. ISO/IEC 27002 zawierał dodatkowy rozdział tematyczny, zaraz po rozdziałach wprowadzających, który obejmował wyłącznie ocenę ryzyka. Wszystkie inne sekcje tematyczne pozostały nienaruszone, ale zawierały istotne aktualizacje i poprawki.