Im Jahre 2000 hat die ISO aus dem britischen Standard BS 7799 die ISO 17799 entwickelt. Diese wurde im Jahr 2005 in ISO 27002 umbenannt.
Der weltweit akzeptierte Standard ISO 27002 gehört zur Normenreihe ISO 2700x und beschäftigt sich mit den Kontrollmechanismen, deren Methoden und Verfahren, die sich in der IT-Sicherheit bewährt haben. In dem Standard werden keine konkreten Sicherheitslösungen empfohlen; allerdings sollten Unternehmen und Organisationen aller Branchen die im Standard aufgeführten Richtlinien beachten und umsetzen. ISO 27002 schließt ein formelles Anerkennungs- und Zertifizierungsverfahren für die Einhaltung der Standards ein.
ISO 27002 ist eine Sammlung von Empfehlungen für die IT-Sicherheit und kann in allen Hierarchieebenen von Unternehmen, Institutionen und Organisationen eingesetzt werden. Da die Vielfalt der Sicherheitsaspekte von der Systemumgebung und der Unternehmensorganisation geprägt ist, ist ISO 27002 ein flexibler Standard, der eigene Interpretationen zulässt.
ISO 27002 umfasst Kapitel über die Struktur und Organisation der IT-Sicherheit, das Risikomanagement, die Sicherheitspolitik, das Asset-Management, die Sicherheit von Personen, die Kommunikation und das operative Management, die Zugriffskontrolle, die Entwicklung und Wartung der IT- Systeme und deren Sicherheitsmanagement sowie die Compliance.