ISO 17799 adalah standar usang untuk keamanan informasi yang diadopsi oleh Organisasi Internasional untuk Standardisasi (ISO) pada tahun 2000. Kode praktik, yang berasal dari British Standard yang dikenal sebagai BS7799, menguraikan praktik terbaik mengenai kerahasiaan, integritas, dan ketersediaan informasi dalam suatu organisasi. Secara resmi dikenal sebagai ISO/IEC 17799, standar ini dimaksudkan untuk memandu personel manajemen informasi yang bertanggung jawab untuk membangun sistem keamanan. Topik yang dibahas termasuk mendefinisikan istilah keamanan informasi, mengklasifikasikan jenis informasi, menguraikan persyaratan minimum, dan menyarankan tanggapan yang tepat terhadap pelanggaran keamanan.
Pada tahun 2005, kemajuan teknologi mengharuskan revisi ISO 17799 untuk menyelaraskan dengan praktik dan kemampuan saat itu. Merupakan praktik umum ISO untuk merevisi standar setiap beberapa tahun untuk memastikan pedoman, kode praktik, dan standar relevan dan mencerminkan teknologi terkini dan filosofi bisnis internasional. Sebagai hasil dari revisi tahun 2005, ISO 17799 menjadi dikenal sebagai ISO/IEC 17799:2005. Untuk membantu membedakan berbagai inkarnasi ISO 17799, standar aslinya dikenal sebagai ISO/IEC 17799:2000.
Pada tahun 2007, ISO dan International Electrotechnical Commission (IEC) menomori ulang standar ISO 17799, melabelinya sebagai ISO/IEC 27002. Sering dirujuk sebagai Keluarga Standar ISMS, seri ISO 27000 sepenuhnya berkaitan dengan Sistem Manajemen Keamanan Informasi, atau ISMS . Penomoran ulang ISO 17799 memungkinkan pejabat ISO/IEC untuk mengelompokkan standar keamanan masa depan ke dalam satu kategori pedoman untuk referensi yang mudah. Beberapa perubahan standar terjadi pada tahun 2007, karena pilihan untuk memberi nomor kembali standar tersebut murni merupakan perubahan administratif untuk mengakomodasi kebutuhan masa depan yang diantisipasi.
Sejak awal, ISO 17799 menangani hal-hal seperti kebijakan keamanan, kontrol akses, mendefinisikan jenis informasi, pengembangan sistem informasi, dan penilaian risiko. Pemimpin organisasi dapat menggunakan ISO 17799 sebagai panduan untuk mengembangkan sistem informasi dan memastikan keamanan sistem tersebut. Pedoman tambahan mengenai akuisisi sistem yang ada, seperti yang biasanya terjadi selama merger bisnis, menguraikan langkah-langkah untuk menjaga keamanan informasi tanpa membatasi akses ke personel kunci. Rekomendasi untuk mengembangkan praktik keamanan serta menangani kasus pelanggaran keamanan juga disertakan dalam ISO 17799 pertama.
Awalnya, standar ISO 17799 yang lengkap mencakup sebelas bagian khusus topik. Bagian tersebut termasuk kebijakan keamanan, organisasi keamanan informasi, manajemen aset, keamanan sumber daya manusia, keamanan fisik dan lingkungan, komunikasi dan manajemen operasi, kontrol akses, akuisisi sistem informasi, manajemen insiden, manajemen kelangsungan bisnis, dan kepatuhan. ISO/IEC 27002 menyertakan bagian topik tambahan, tepat setelah bagian pengantar, yang mencakup penilaian risiko secara eksklusif. Semua bagian khusus topik lainnya tetap utuh, tetapi menyertakan pembaruan dan revisi yang relevan.