ISO 17799 este un standard învechit pentru securitatea informațiilor adoptat de Organizația Internațională pentru Standardizare (ISO) în 2000. Codul de practică, derivat din standardul britanic cunoscut sub numele de BS7799, a subliniat cele mai bune practici privind confidențialitatea, integritatea și disponibilitatea informațiilor într-un organizare. Cunoscut oficial ca ISO/IEC 17799, standardul a fost menit să ghideze personalul de management al informațiilor însărcinat cu stabilirea sistemelor de securitate. Subiectele abordate au inclus definirea termenilor de securitate a informațiilor, clasificarea tipurilor de informații, conturarea cerințelor minime și sugerarea de răspunsuri adecvate la încălcările de securitate.
Până în 2005, progresele tehnologice au necesitat revizuiri ale ISO 17799 pentru a se alinia cu practicile și capabilitățile actuale. Este o practică comună a ISO să revizuiască standardele la fiecare câțiva ani pentru a se asigura că liniile directoare, codurile de practică și standardele sunt relevante și reflectă tehnologiile actuale și filozofiile de afaceri internaționale. Ca urmare a revizuirilor din 2005, ISO 17799 a devenit cunoscut ca ISO/IEC 17799:2005. Pentru a ajuta la diferențierea între diferitele încarnări ale ISO 17799, standardul original a devenit cunoscut ca ISO/IEC 17799:2000.
În 2007, ISO și Comisia Electrotehnică Internațională (IEC) au renumerotat standardul ISO 17799, etichetându-l ca ISO/IEC 27002. Deseori menționată ca familia de standarde ISMS, seria ISO 27000 se ocupă în întregime de sistemele de management al securității informațiilor sau ISMS . Renumerotarea ISO 17799 a permis oficialilor ISO/IEC să grupeze viitoarele standarde de securitate într-o singură categorie de linii directoare pentru o referire ușoară. Puține modificări ale standardului au avut loc în 2007, deoarece alegerea de a renumerota astfel de standarde a fost pur o modificare administrativă pentru a se adapta nevoilor viitoare anticipate.
Încă de la început, ISO 17799 a tratat aspecte precum politicile de securitate, controlul accesului, definirea tipurilor de informații, dezvoltarea sistemelor informaționale și evaluarea riscurilor. Liderii organizaționali ar putea folosi ISO 17799 ca ghid pentru dezvoltarea sistemelor informaționale și asigurarea securității unor astfel de sisteme. Orientări suplimentare privind achiziția sistemelor existente, așa cum se întâmplă de obicei în timpul fuziunilor de afaceri, au subliniat pași pentru a menține securitatea informațiilor fără a limita accesul la personalul cheie. Recomandările pentru dezvoltarea practicilor de securitate, precum și gestionarea cazurilor de încălcare a securității au fost, de asemenea, incluse în primul ISO 17799.
Inițial, standardul complet ISO 17799 includea unsprezece secțiuni specifice unui subiect. Aceste secțiuni au inclus politica de securitate, organizarea securității informațiilor, managementul activelor, securitatea resurselor umane, securitatea fizică și a mediului, managementul comunicațiilor și operațiunilor, controlul accesului, achiziția sistemelor de informații, managementul incidentelor, managementul continuității afacerii și conformitatea. ISO/IEC 27002 a inclus o secțiune tematică suplimentară, imediat după secțiunile introductive, care acoperea exclusiv evaluarea riscurilor. Toate celelalte secțiuni specifice subiectului au rămas intacte, dar au inclus actualizări și revizuiri relevante.