Kansainvälinen standardointijärjestö (ISO) on valtiosta riippumaton yksikkö, joka on laatinut standardeja enimmäkseen teknisille aiheille. ISO 27002 on joukko standardeja ja menettelyjä, jotka valvovat tietoturvaa ja valvontaa, joiden avulla yritys voi toimia asianmukaisesti. Vuoteen 2005 asti ISO 27002 käytti kahta muuta nimeä. Tätä standardia täydentää suurelta osin ISO 27001, joka tarkentaa johtotehtäviä, kuten riskinarviointia ja turvallisuuden tarkistamista, eikä 27002: n valvontaa.
Kaksi standardia tuli ennen ISO 27002 -standardia, kumpikin samanlainen aiheessa ja hallinnassa. Ensimmäinen inkarnaatio tapahtui vuonna 1995 ja ilmestyi Yhdistyneessä kuningaskunnassa (UK) nimellä BS7799. Siivouksen ja modernisoinnin jälkeen ISO julkaisi sen uudelleen, tällä kertaa nimellä ISO 17799. Vuonna 2005 sitä kutsuttiin lisämuokkausten jälkeen ISO 27002. Vaikka jokainen versio on erilainen ja korostaa peräkkäin nykyaikaisia ongelmia ja säätimiä, kaikki kolme inkarnaatiota käsittelevät tietoturvaa.
27002 -standardi korostaa satoja tapoja käsitellä tietoturvaa, ja siinä on monia eri lukuja tietojen suojaamisen eri näkökohdista. Jotkut luvut käsittelevät henkilöresursseja ja niiden vuorovaikutusta tietojen kanssa, kun taas toiset kertovat yritykselle, kuinka hallita pääsyä ja liiketoiminnan jatkuvuutta suojausmenettelyllään. Tietoturva edellyttää yleensä tietotekniikkaa (IT), mutta ISO 27002 koskee myös paperitietoja ja omaisuutta, vaikka suurin osa standardista on suunnattu IT -osastolle.
Ensimmäisessä julkaisussaan 27002-standardin oli tarkoitus olla laaja-alainen standardi kaikille laitoksille, jotka tarvitsivat tietoturvaa. Tämä tarkoittaa sitä, että yritys, voittoa tavoittelematon laitos, valtion virasto ja liike noudattavat samaa standardia. Tämän standardin tulevat julkaisut keskittyvät standardin erottamiseen eri aloilta tehokkaammaksi.
ISO 27002 sisältää yksityiskohtaisia tietoja turvallisuuden säilyttämiseen liittyvistä ohjaimista ja menettelyistä. Muut standardit, kuten täydentävä ISO 27001, tarjoavat vain yhden tai kaksi virkettä ohjauksesta. Sen sijaan 27002 siirtyy hallintaan erittäin yksityiskohtaisesti, mutta tarjoaa vähän hallinnan tapauksessa. ISO 27001 -standardin mukaan kaikki hallinnan näkökohdat on määritelty.
Monet ihmiset sekoittavat ISO 27001 ja 27002, koska he käsittelevät samoja aiheita eri tavoin. Tämä tarkoittaa sitä, että monet ihmiset jäävät ihmettelemään, miksi standardi jaettiin kahteen osaan. Syynä on se, että jos molemmat osat olisivat yhdessä, se olisi liian pitkä yhdelle julkaisulle.