International Organization for Standardization (ISO) är en icke-statlig enhet som finns för att göra standarder för mestadels tekniska ämnen. ISO 27002 är en uppsättning standarder och procedurer som upprätthåller informationssäkerhet och kontroller som gör att ett företag kan utföra korrekt säkerhet. Fram till 2005 gick ISO 27002 under två andra namn. Denna standard kompletteras till stor del av ISO 27001, som beskriver ledningsuppgifterna som riskbedömning och granskning av säkerhet, snarare än kontrollaspekten av 27002.
Två standarder kom före ISO 27002, var och en liknande i ämne och kontroll. Den första inkarnationen var 1995 och dök upp i Storbritannien (UK) som BS7799. Efter att ha rensats och moderniserats publicerades den igen av ISO, denna gång som ISO 17799. 2005, efter ytterligare redigeringar, kallades den ISO 27002. Även om varje version är olika och successivt lyfter fram modernare problem och kontroller, alla tre inkarnationerna handlar om informationssäkerhet.
Standarden 27002 belyser hundratals sätt att hantera informationssäkerhet och har många olika kapitel för olika aspekter av informationssäkerhet. Vissa kapitel handlar om mänskliga resurser och deras interaktion med information, medan andra berättar för ett företag hur man kontrollerar åtkomst och affärskontinuitet med sina säkerhetsprocedurer. Informationssäkerhet innebär vanligtvis informationsteknologi (IT), men ISO 27002 handlar också om pappersinformation och tillgångar, även om det mesta av standarden riktar sig till IT-avdelningen.
I sin första utgåva var 27002-standarden tänkt att vara en omfattande standard för alla institutioner som behövde informationssäkerhet. Detta innebär att ett företag, ideell verksamhet, statlig myndighet och företag alla skulle följa samma standard. Framtida publikationer av denna standard är inriktade på att separera standarden för olika sektorer för att bli mer effektiva.
ISO 27002 går in i detalj om kontrollerna och procedurerna för att hålla informationen säker. Andra standarder, som den kompletterande ISO 27001, erbjuder bara en eller två meningar om kontrollen. Istället går 27002 i kontroll med stor detaljrikedom men erbjuder lite när det gäller förvaltning. Med ISO 27001 specificeras alla förvaltningsaspekter.
Många blandar ihop ISO 27001 och 27002, eftersom de hanterar samma ämnen på olika sätt. Detta innebär att många människor undrar varför standarden var uppdelad i två delar. Anledningen är att om båda delarna fanns tillsammans skulle det ta för lång tid för en publikation.