ISO 17799 es un estándar obsoleto para la seguridad de la información adoptado por la Organización Internacional de Normalización (ISO) en 2000. El código de prácticas, derivado del Estándar Británico conocido como BS7799, describe las mejores prácticas con respecto a la confidencialidad, integridad y disponibilidad de información dentro de un organización. Oficialmente conocido como ISO / IEC 17799, el estándar tenía la intención de guiar al personal de gestión de información a cargo de establecer sistemas de seguridad. Los temas tratados incluyeron la definición de términos de seguridad de la información, la clasificación de los tipos de información, la descripción de los requisitos mínimos y la sugerencia de respuestas apropiadas a las infracciones de seguridad.
Para 2005, los avances tecnológicos requerían revisiones de ISO 17799 para alinearse con las prácticas y capacidades actuales. Es una práctica común de la ISO revisar los estándares cada pocos años para garantizar que las pautas, los códigos de prácticas y los estándares sean relevantes y reflejen las tecnologías actuales y las filosofías comerciales internacionales. Como resultado de las revisiones de 2005, ISO 17799 se conoció como ISO / IEC 17799: 2005. Para ayudar a diferenciar entre varias encarnaciones de ISO 17799, el estándar original se conoció como ISO / IEC 17799: 2000.
En 2007, la ISO y la Comisión Electrotécnica Internacional (IEC) volvieron a numerar la norma ISO 17799, etiquetándola como ISO / IEC 27002. A menudo referida como la Familia de Normas ISMS, la serie ISO 27000 trata completamente con Sistemas de Gestión de Seguridad de la Información, o ISMS . Renumerar la norma ISO 17799 permitió a los funcionarios de ISO / IEC agrupar los futuros estándares de seguridad en una categoría de pautas para una fácil referencia. Pocos cambios al estándar ocurrieron en 2007, ya que la elección de renumerar dichos estándares fue puramente un cambio administrativo para acomodar las necesidades futuras anticipadas.
Desde el principio, ISO 17799 se ocupó de asuntos como políticas de seguridad, control de acceso, definición de tipos de información, desarrollo de sistemas de información y evaluación de riesgos. Los líderes organizacionales podrían usar ISO 17799 como guía para desarrollar sistemas de información y garantizar la seguridad de dichos sistemas. Las pautas adicionales con respecto a la adquisición de sistemas existentes, como ocurre típicamente durante las fusiones comerciales, detallan los pasos para mantener la seguridad de la información sin limitar el acceso al personal clave. Las recomendaciones para desarrollar prácticas de seguridad, así como para manejar casos de violaciones de seguridad, también se incluyeron en la primera ISO 17799.
Originalmente, el estándar ISO 17799 completo incluía once secciones de temas específicos. Esas secciones incluyeron política de seguridad, organización de la seguridad de la información, gestión de activos, seguridad de recursos humanos, seguridad física y ambiental, gestión de comunicaciones y operaciones, control de acceso, adquisición de sistemas de información, gestión de incidentes, gestión de continuidad comercial y cumplimiento. ISO / IEC 27002 incluyó una sección de tema adicional, justo después de las secciones introductorias, que cubría la evaluación de riesgos exclusivamente. Todas las demás secciones específicas del tema permanecieron intactas, pero incluyeron actualizaciones y revisiones relevantes.
Inteligente de activos.