Organizația Internațională pentru Standardizare (ISO) este o entitate non-guvernamentală care există pentru a face standarde pentru subiecte în principal tehnice. ISO 27002 este un set de standarde și proceduri care impune securitatea informațiilor și controale care permit unei afaceri să realizeze securitatea adecvată. Până în 2005, ISO 27002 a primit alte două denumiri. Acest standard este completat în mare măsură de ISO 27001, care detaliază sarcinile manageriale, cum ar fi evaluarea riscurilor și revizuirea securității, mai degrabă decât aspectul de control al 27002.
Două standarde au venit înainte de ISO 27002, fiecare similar ca subiect și ca control. Prima încarnare a fost în 1995 și a apărut în Regatul Unit (Marea Britanie) ca BS7799. După ce a fost curățat și modernizat, a fost publicat din nou de ISO, de data aceasta ca ISO 17799. În 2005, după modificări ulterioare, a fost numit ISO 27002. În timp ce fiecare versiune este diferită și evidențiază succesiv probleme și controale mai moderne, toate cele trei încarnări se ocupă de securitatea informațiilor.
Standardul 27002 evidențiază sute de moduri de a trata securitatea informațiilor și are multe capitole diferite pentru diferitele aspecte ale securizării informațiilor. Unele capitole tratează resursele umane și interacțiunea acestora cu informațiile, în timp ce altele spun unei companii cum să controleze accesul și continuitatea afacerii cu procedura de securitate. Securitatea informației implică de obicei tehnologia informației (IT), dar ISO 27002 se referă și la informațiile și activele pe hârtie, deși majoritatea standardului vizează departamentul IT.
În prima sa lansare, standardul 27002 a fost menit să fie un standard cuprinzător pentru toate instituțiile care aveau nevoie de securitatea informațiilor. Aceasta înseamnă că o întreprindere, o unitate non-profit, o agenție guvernamentală și o afacere ar urma toate același standard. Publicațiile viitoare ale acestui standard se concentrează pe separarea standardului pentru diferite sectoare pentru a fi mai eficiente.
ISO 27002 intră în detaliu despre controalele și procedurile implicate în păstrarea în siguranță a informațiilor. Alte standarde, cum ar fi ISO 27001 complementar, oferă doar una sau două propoziții despre control. În schimb, 27002 intră în control cu foarte multe detalii, dar oferă puțin în cazul managementului. Cu ISO 27001, toate aspectele de management sunt specificate.
Mulți oameni confundă ISO 27001 și 27002, deoarece tratează aceleași subiecte în moduri diferite. Aceasta înseamnă că mulți oameni sunt lăsați să se întrebe de ce standardul a fost separat în două părți. Motivul este că, dacă ambele părți ar exista împreună, ar fi prea lung pentru o publicație.