Međunarodna organizacija za standardizaciju (ISO) je nevladina organizacija koja postoji za izradu standarda za uglavnom tehničke predmete. ISO 27002 skup je standarda i postupaka koji provode informacijsku sigurnost i kontrole koje poduzeću omogućuju odgovarajuću sigurnost. Do 2005. ISO 27002 nosio je još dva naziva. Ovaj standard uvelike nadopunjuje ISO 27001, koji detaljno opisuje upravljačke zadatke kao što su procjena rizika i pregled sigurnosti, a ne aspekt kontrole iz 27002.
Prije ISO 27002 došle su dvije norme, svaka slična po temi i kontroli. Prva inkarnacija bila je 1995. godine i pojavila se u Ujedinjenom Kraljevstvu (UK) kao BS7799. Nakon što je očišćen i moderniziran, ponovno ga je objavio ISO, ovaj put kao ISO 17799. Godine 2005., nakon daljnjih uređivanja, nazvan je ISO 27002. Iako je svaka verzija drugačija, te sukcesivno naglašava modernije probleme i kontrole, sve tri inkarnacije bave se informacijskom sigurnošću.
Standard 27002 ističe stotine načina za rješavanje informacijske sigurnosti i ima mnogo različitih poglavlja za različite aspekte osiguranja informacija. Neka poglavlja bave se ljudskim resursima i njihovom interakcijom s informacijama, dok druga govore tvrtki kako kontrolirati pristup i kontinuitet poslovanja svojim sigurnosnim postupkom. Informacijska sigurnost obično podrazumijeva informacijsku tehnologiju (IT), ali ISO 27002 također se bavi papirnatim informacijama i imovinom, iako je većina standarda usmjerena na IT odjel.
U svom prvom izdanju, standard 27002 trebao je biti široki standard za sve institucije kojima je potrebna informacijska sigurnost. To znači da bi poduzeće, neprofitna ustanova, državna agencija i poduzeća slijedili isti standard. Buduće publikacije ove norme usmjerene su na odvajanje standarda za različite sektore kako bi bili učinkovitiji.
ISO 27002 detaljno govori o kontrolama i postupcima koji su uključeni u očuvanje sigurnosti informacija. Drugi standardi, kao što je komplementarni ISO 27001, nude samo jednu ili dvije rečenice o kontroli. Umjesto toga, 27002 ulazi u kontrolu s velikim detaljima, ali nudi malo u slučaju upravljanja. Uz ISO 27001, svi su aspekti upravljanja navedeni.
Mnogi ljudi brkaju ISO 27001 i 27002 jer se istim temama bave na različite načine. To znači da se mnogi ljudi pitaju zašto je standard podijeljen na dva dijela. Razlog je u tome što, da oba dijela postoje zajedno, bilo bi predugo za jednu publikaciju.