A ISO 17799 é um padrão desatualizado para segurança da informação adotado pela Organização Internacional de Padronização (ISO) em 2000. O código de prática, derivado do Padrão Britânico conhecido como BS7799, descreveu as melhores práticas relacionadas à confidencialidade, integridade e disponibilidade de informações dentro de um organização. Oficialmente conhecida como ISO / IEC 17799, a norma tinha como objetivo orientar o pessoal de gerenciamento de informações encarregado de estabelecer sistemas de segurança. Os tópicos abordados incluíram a definição dos termos de segurança das informações, a classificação dos tipos de informações, a descrição dos requisitos mínimos e a sugestão de respostas apropriadas às violações da segurança.
Em 2005, os avanços tecnológicos exigiram revisões da ISO 17799 para se alinhar às práticas e capacidades atuais. É prática comum da ISO revisar padrões a cada poucos anos para garantir que diretrizes, códigos de práticas e padrões sejam relevantes e reflitam as tecnologias atuais e as filosofias comerciais internacionais. Como resultado das revisões de 2005, a ISO 17799 ficou conhecida como ISO / IEC 17799: 2005. Para ajudar a diferenciar entre várias encarnações da ISO 17799, o padrão original ficou conhecido como ISO / IEC 17799: 2000.
Em 2007, a ISO e a Comissão Eletrotécnica Internacional (IEC) renumeraram a norma ISO 17799, rotulando-a como ISO / IEC 27002. Frequentemente referenciada como a Família de Normas ISMS, a série ISO 27000 lida inteiramente com Sistemas de Gerenciamento de Segurança da Informação, ou ISMS . A renumeração da ISO 17799 permitiu que os funcionários da ISO / IEC agrupassem futuros padrões de segurança em uma categoria de diretrizes para facilitar a referência. Ocorreram poucas mudanças no padrão em 2007, pois a escolha de renumerá-lo foi puramente uma mudança administrativa para acomodar as necessidades futuras previstas.
Desde o início, a ISO 17799 tratou de assuntos como políticas de segurança, controle de acesso, definição de tipos de informações, desenvolvimento de sistemas de informação e avaliação de riscos. Os líderes organizacionais poderiam usar a ISO 17799 como um guia para o desenvolvimento de sistemas de informação e garantir a segurança de tais sistemas. Diretrizes adicionais relacionadas à aquisição de sistemas existentes, como normalmente ocorre durante fusões de negócios, descreveram etapas para manter a segurança das informações sem limitar o acesso ao pessoal-chave. Recomendações para o desenvolvimento de práticas de segurança, bem como para lidar com instâncias de violações de segurança também foram incluídas na primeira ISO 17799.
Originalmente, o padrão ISO 17799 completo incluía onze seções específicas de tópicos. Essas seções incluíam política de segurança, organização da segurança da informação, gerenciamento de ativos, segurança de recursos humanos, segurança física e ambiental, gerenciamento de comunicações e operações, controle de acesso, aquisição de sistemas de informação, gerenciamento de incidentes, gerenciamento de continuidade de negócios e conformidade. A ISO / IEC 27002 incluiu uma seção de tópico adicional, logo após as seções introdutórias, que cobriam exclusivamente a avaliação de riscos. Todas as outras seções específicas do tópico permaneceram intactas, mas incluíram atualizações e revisões relevantes.
Inteligente de ativos.