Die Internationale Organisation für Normung (ISO) ist eine nichtstaatliche Einrichtung, die dazu dient, Normen für hauptsächlich technische Themen zu erstellen. ISO 27002 ist eine Reihe von Standards und Verfahren, die die Informationssicherheit und Kontrollen durchsetzen, die es einem Unternehmen ermöglichen, angemessene Sicherheit zu gewährleisten. Bis 2005 hatte ISO 27002 zwei andere Namen. Dieser Standard wird weitgehend durch ISO 27001 ergänzt, die die Managementaufgaben wie Risikobewertung und Sicherheitsüberprüfung detailliert beschreibt und nicht den Kontrollaspekt von 27002.
Der ISO 27002 gingen zwei Standards voraus, die sich in Thema und Kontrolle jeweils ähnlich waren. Die erste Inkarnation war 1995 und erschien im Vereinigten Königreich (UK) als BS7799. Nach der Bereinigung und Modernisierung wurde sie erneut von der ISO veröffentlicht, diesmal als ISO 17799. 2005 wurde sie nach weiteren Überarbeitungen als ISO 27002 bezeichnet. Obwohl jede Version anders ist und nach und nach modernere Probleme und Kontrollen hervorhebt, alle drei Inkarnationen befassen sich mit Informationssicherheit.
Der Standard 27002 hebt Hunderte von Möglichkeiten zum Umgang mit Informationssicherheit hervor und enthält viele verschiedene Kapitel zu den verschiedenen Aspekten der Informationssicherheit. Einige Kapitel befassen sich mit Humanressourcen und deren Interaktion mit Informationen, während andere einem Unternehmen erklären, wie es den Zugriff und die Geschäftskontinuität mit seinen Sicherheitsverfahren kontrollieren kann. Informationssicherheit impliziert normalerweise Informationstechnologie (IT), aber ISO 27002 befasst sich auch mit Papierinformationen und -ressourcen, obwohl der Großteil des Standards auf die IT-Abteilung ausgerichtet ist.
In seiner ersten Version sollte der 27002-Standard ein weitreichender Standard für alle Institutionen sein, die Informationssicherheit benötigen. Dies bedeutet, dass ein Unternehmen, eine gemeinnützige Einrichtung, eine Regierungsbehörde und ein Unternehmen alle dem gleichen Standard folgen würden. Zukünftige Veröffentlichungen dieses Standards konzentrieren sich darauf, den Standard für verschiedene Sektoren zu trennen, um effizienter zu sein.
ISO 27002 geht sehr detailliert auf die Kontrollen und Verfahren ein, die für die Sicherheit von Informationen erforderlich sind. Andere Standards, wie die ergänzende ISO 27001, bieten nur ein oder zwei Sätze zur Kontrolle. Stattdessen geht 27002 sehr detailliert in die Kontrolle, bietet aber wenig im Fall des Managements. Mit der ISO 27001 sind alle Managementaspekte spezifiziert.
Viele Leute verwechseln die ISO 27001 und 27002, weil sie dieselben Themen auf unterschiedliche Weise behandeln. Dies bedeutet, dass sich viele Leute fragen, warum der Standard in zwei Teile geteilt wurde. Der Grund ist, dass es für eine Veröffentlichung zu lang wäre, wenn beide Teile zusammen existieren würden.