L’Organizzazione internazionale per la standardizzazione (ISO) è un’entità non governativa che esiste per creare standard per materie per lo più tecniche. ISO 27002 è un insieme di standard e procedure che rafforza la sicurezza delle informazioni e i controlli che consentono a un’azienda di eseguire la sicurezza adeguata. Fino al 2005, ISO 27002 aveva altri due nomi. Questo standard è ampiamente integrato dalla ISO 27001, che descrive in dettaglio le attività gestionali come la valutazione del rischio e la revisione della sicurezza, piuttosto che l’aspetto di controllo di 27002.
Due standard sono venuti prima della ISO 27002, ciascuno simile nell’argomento e nel controllo. La prima incarnazione è stata nel 1995 ed è apparsa nel Regno Unito (UK) come BS7799. Dopo essere stato ripulito e modernizzato, è stato ripubblicato dall’ISO, questa volta come ISO 17799. Nel 2005, dopo ulteriori modifiche, è stato chiamato ISO 27002. Sebbene ogni versione sia diversa, e successivamente evidenzi problemi e controlli più moderni, tutte e tre le incarnazioni si occupano di sicurezza delle informazioni.
Lo standard 27002 evidenzia centinaia di modi per affrontare la sicurezza delle informazioni e ha molti capitoli diversi per i diversi aspetti della protezione delle informazioni. Alcuni capitoli trattano delle risorse umane e della loro interazione con le informazioni, mentre altri spiegano a un’azienda come controllare l’accesso e la continuità aziendale con la propria procedura di sicurezza. La sicurezza delle informazioni di solito implica la tecnologia dell’informazione (IT), ma la ISO 27002 riguarda anche le informazioni e le risorse cartacee, sebbene la maggior parte dello standard sia rivolta al dipartimento IT.
Nella sua prima versione, lo standard 27002 doveva essere uno standard ampio per tutte le istituzioni che avevano bisogno di sicurezza delle informazioni. Ciò significa che un’impresa, un’organizzazione senza scopo di lucro, un’agenzia governativa e un’impresa seguirebbero tutti lo stesso standard. Le pubblicazioni future di questo standard sono focalizzate sulla separazione dello standard per diversi settori per essere più efficiente.
La ISO 27002 entra nei dettagli sui controlli e le procedure coinvolte nel mantenere le informazioni al sicuro. Altri standard, come la complementare ISO 27001, offrono solo una o due frasi sul controllo. Invece, 27002 va in controllo con grande dettaglio ma offre poco in caso di gestione. Con la ISO 27001 vengono specificati tutti gli aspetti gestionali.
Molte persone confondono la ISO 27001 e 27002, perché trattano gli stessi argomenti in modi diversi. Ciò significa che molte persone si chiedono perché lo standard sia stato separato in due parti. Il motivo è perché, se entrambe le parti esistessero insieme, sarebbe troppo lungo per una pubblicazione.