ISO 17799 är en föråldrad standard för informationssäkerhet som antogs av International Organization for Standardization (ISO) år 2000. Uppförandekoden, härledd från den brittiska standarden känd som BS7799, beskriver bästa praxis avseende konfidentialitet, integritet och tillgänglighet för information inom en organisation. Officiellt känd som ISO/IEC 17799, var standarden avsedd att vägleda informationshanteringspersonal med ansvar för att upprätta säkerhetssystem. Ämnen som togs upp var att definiera termer för informationssäkerhet, klassificera informationstyper, beskriva minimikrav och föreslå lämpliga åtgärder vid säkerhetsöverträdelser.
År 2005 krävde tekniska framsteg revideringar av ISO 17799 för att anpassas till dåvarande praxis och kapacitet. Det är vanlig praxis för ISO att revidera standarder med några års mellanrum för att säkerställa att riktlinjer, uppförandekoder och standarder är relevanta och återspeglar aktuell teknologi och internationella affärsfilosofier. Som ett resultat av 2005 års revisioner blev ISO 17799 känd som ISO/IEC 17799:2005. För att hjälpa till att skilja mellan olika inkarnationer av ISO 17799 blev den ursprungliga standarden känd som ISO/IEC 17799:2000.
2007 numrerade ISO och International Electrotechnical Commission (IEC) om ISO 17799-standarden och märkte den till ISO/IEC 27002. ISO 27000-serien, ofta kallad ISMS Family of Standards, handlar helt och hållet om Information Security Management Systems, eller ISMS . Genom att omnumrera ISO 17799 kunde ISO/IEC-tjänstemän gruppera framtida säkerhetsstandarder i en kategori av riktlinjer för enkel referens. Få förändringar av standarden skedde under 2007, eftersom valet att omnumrera sådana standarder enbart var en administrativ förändring för att tillgodose förväntade framtida behov.
Från början behandlade ISO 17799 frågor som säkerhetspolicyer, kontroll av åtkomst, definiera typer av information, utveckling av informationssystem och riskbedömning. Organisationsledare skulle kunna använda ISO 17799 som vägledning för att utveckla informationssystem och säkerställa säkerheten för sådana system. Ytterligare riktlinjer för förvärv av befintliga system, som vanligtvis sker vid företagsfusioner, beskrev steg för att upprätthålla informationssäkerhet utan att begränsa tillgången till nyckelpersoner. Rekommendationer för utveckling av säkerhetspraxis samt hantering av fall av säkerhetsintrång inkluderades också i den första ISO 17799.
Ursprungligen inkluderade den kompletta ISO 17799-standarden elva ämnesspecifika avsnitt. Dessa avsnitt inkluderade säkerhetspolicy, organisation av informationssäkerhet, tillgångshantering, personalsäkerhet, fysisk säkerhet och miljösäkerhet, kommunikations- och driftledning, åtkomstkontroll, anskaffning av informationssystem, incidenthantering, affärskontinuitetshantering och efterlevnad. ISO/IEC 27002 inkluderade ytterligare ett ämnesavsnitt, precis efter de inledande avsnitten, som uteslutande omfattade riskbedömning. Alla andra ämnesspecifika avsnitt förblev intakta, men innehöll relevanta uppdateringar och revideringar.