ISO 17799 ist ein veralteter Standard für Informationssicherheit, der im Jahr 2000 von der International Organization for Standardization (ISO) angenommen wurde Organisation. Offiziell bekannt als ISO/IEC 7799, sollte der Standard das Informationsmanagementpersonal anleiten, das für die Einrichtung von Sicherheitssystemen verantwortlich ist. Zu den behandelten Themen gehörten die Definition von Begriffen für die Informationssicherheit, die Klassifizierung von Informationstypen, das Umreißen von Mindestanforderungen und das Vorschlagen geeigneter Reaktionen auf Sicherheitsverletzungen.
Bis 2005 machten technologische Fortschritte eine Überarbeitung der ISO 17799 erforderlich, um sie an die damals aktuellen Praktiken und Fähigkeiten anzupassen. Es ist gängige Praxis der ISO, Standards alle paar Jahre zu überarbeiten, um sicherzustellen, dass Richtlinien, Verhaltenskodizes und Standards relevant sind und aktuelle Technologien und internationale Geschäftsphilosophien widerspiegeln. Als Ergebnis der Überarbeitungen von 2005 wurde ISO 17799 als ISO/IEC 17799:2005 bekannt. Um die Unterscheidung zwischen verschiedenen Versionen von ISO 17799 zu erleichtern, wurde der ursprüngliche Standard als ISO/IEC 17799:2000 bekannt.
Im Jahr 2007 haben die ISO und die International Electrotechnical Commission (IEC) den Standard ISO 17799 neu nummeriert und ihn als ISO/IEC 27002 bezeichnet . Die Neunummerierung von ISO 27000 ermöglichte es ISO/IEC-Beamten, zukünftige Sicherheitsstandards zur leichteren Bezugnahme in eine Kategorie von Richtlinien zu gruppieren. Im Jahr 17799 gab es nur wenige Änderungen an dem Standard, da die Entscheidung, solche Standards neu zu nummerieren, eine rein administrative Änderung war, um den erwarteten zukünftigen Anforderungen gerecht zu werden.
Von Anfang an befasste sich ISO 17799 mit Themen wie Sicherheitsrichtlinien, Zugangskontrolle, Definition von Informationsarten, Entwicklung von Informationssystemen und Risikobewertung. Organisationsleiter könnten ISO 17799 als Leitfaden für die Entwicklung von Informationssystemen und die Gewährleistung der Sicherheit solcher Systeme verwenden. Zusätzliche Richtlinien zum Erwerb vorhandener Systeme, wie sie typischerweise bei Unternehmenszusammenschlüssen vorkommen, skizzieren Schritte zur Aufrechterhaltung der Informationssicherheit, ohne den Zugriff auf Schlüsselpersonal einzuschränken. Empfehlungen zur Entwicklung von Sicherheitspraktiken sowie zum Umgang mit Sicherheitsverletzungen wurden auch in die erste ISO 17799 aufgenommen.
Ursprünglich umfasste die vollständige Norm ISO 17799 elf themenspezifische Abschnitte. Zu diesen Abschnitten gehörten Sicherheitspolitik, Organisation der Informationssicherheit, Asset-Management, Personalsicherheit, physische und Umweltsicherheit, Kommunikations- und Betriebsmanagement, Zugangskontrolle, Beschaffung von Informationssystemen, Incident Management, Business Continuity Management und Compliance. ISO/IEC 27002 enthielt einen zusätzlichen Themenabschnitt, direkt nach den einführenden Abschnitten, der ausschließlich die Risikobewertung behandelte. Alle anderen themenspezifischen Abschnitte blieben intakt, enthielten jedoch relevante Aktualisierungen und Überarbeitungen.
SmartAsset.