ISO 17799 est une norme obsolète pour la sécurité de l’information adoptée par l’Organisation internationale de normalisation (ISO) en 2000. Le code de pratique, dérivé de la norme britannique connue sous le nom de BS7799, décrit les meilleures pratiques concernant la confidentialité, l’intégrité et la disponibilité des informations dans un organisation. Officiellement connue sous le nom d’ISO/IEC 17799, la norme était destinée à guider le personnel de gestion de l’information chargé d’établir des systèmes de sécurité. Les sujets abordés comprenaient la définition des termes de sécurité de l’information, la classification des types d’information, la définition des exigences minimales et la suggestion de réponses appropriées aux violations de la sécurité.
En 2005, les progrès technologiques ont nécessité des révisions de la norme ISO 17799 pour s’aligner sur les pratiques et les capacités alors en vigueur. C’est une pratique courante de l’ISO de réviser les normes toutes les quelques années pour s’assurer que les lignes directrices, les codes de pratique et les normes sont pertinents et reflètent les technologies actuelles et les philosophies commerciales internationales. À la suite des révisions de 2005, l’ISO 17799 est devenue ISO/IEC 17799:2005. Pour aider à différencier les différentes incarnations de l’ISO 17799, la norme d’origine est devenue ISO/IEC 17799:2000.
En 2007, l’ISO et la Commission électrotechnique internationale (CEI) ont renuméroté la norme ISO 17799, la qualifiant de ISO/IEC 27002. Souvent référencée comme la famille de normes ISMS, la série ISO 27000 traite entièrement des systèmes de gestion de la sécurité de l’information, ou ISMS. . La renumérotation de l’ISO 17799 a permis aux responsables de l’ISO/CEI de regrouper les futures normes de sécurité dans une catégorie de lignes directrices pour une référence facile. Peu de changements ont été apportés à la norme en 2007, car le choix de renuméroter ces normes était purement un changement administratif pour répondre aux besoins futurs anticipés.
Dès le début, l’ISO 17799 traitait de questions telles que les politiques de sécurité, le contrôle d’accès, la définition des types d’informations, le développement des systèmes d’information et l’évaluation des risques. Les dirigeants d’organisation pourraient utiliser ISO 17799 comme guide pour développer des systèmes d’information et assurer la sécurité de ces systèmes. Des directives supplémentaires concernant l’acquisition de systèmes existants, comme cela se produit généralement lors de fusions d’entreprises, décrivent les étapes à suivre pour maintenir la sécurité des informations sans limiter l’accès au personnel clé. Des recommandations pour le développement de pratiques de sécurité ainsi que pour la gestion des cas de failles de sécurité ont également été incluses dans la première ISO 17799.
À l’origine, la norme ISO 17799 complète comprenait onze sections thématiques. Ces sections comprenaient la politique de sécurité, l’organisation de la sécurité de l’information, la gestion des actifs, la sécurité des ressources humaines, la sécurité physique et environnementale, la gestion des communications et des opérations, le contrôle d’accès, l’acquisition de systèmes d’information, la gestion des incidents, la gestion de la continuité des activités et la conformité. L’ISO/CEI 27002 comprenait une section thématique supplémentaire, juste après les sections d’introduction, qui couvrait exclusivement l’évaluation des risques. Toutes les autres sections spécifiques à un sujet sont restées intactes, mais comprenaient des mises à jour et des révisions pertinentes.