ISO 17799 on vanhentunut tietoturvastandardi, jonka Kansainvälinen standardointijärjestö (ISO) hyväksyi vuonna 2000. Käytännesäännöt, jotka on johdettu brittiläisestä standardista BS7799, esittelivät parhaita käytäntöjä tietojen luottamuksellisuudesta, eheydestä ja saatavuudesta. organisaatio. Virallisesti nimellä ISO/IEC 17799, standardin oli tarkoitus ohjata turvajärjestelmien perustamisesta vastaavaa tiedonhallintahenkilöstöä. Aiheina olivat tietoturvaehtojen määrittely, tietotyyppien luokittelu, vähimmäisvaatimusten hahmottaminen ja asianmukaisten vastausten ehdottaminen tietoturvaloukkauksiin.
Vuoteen 2005 mennessä tekniikan kehitys edellytti ISO 17799 -standardin tarkistamista vastaamaan nykyisiä käytäntöjä ja valmiuksia. ISO: n yleinen käytäntö on tarkistaa standardit muutaman vuoden välein varmistaakseen, että ohjeet, käytännesäännöt ja standardit ovat relevantteja ja heijastavat nykyistä teknologiaa ja kansainvälistä liiketoimintafilosofiaa. Vuoden 2005 tarkistusten seurauksena ISO 17799 tunnettiin nimellä ISO/IEC 17799: 2005. ISO 17799: n eri inkarnaatioiden erottamiseksi alkuperäinen standardi tunnettiin nimellä ISO/IEC 17799: 2000.
Vuonna 2007 ISO ja Kansainvälinen sähkötekninen komissio (IEC) numeroivat uudelleen ISO 17799 -standardin ja merkitsivät sen ISO/IEC 27002. Usein ISMS -standardiperheeksi viitattu ISO 27000 -sarja käsittelee kokonaan tietoturvan hallintajärjestelmiä tai ISMS: ää. . ISO 17799: n uudelleen numerointi antoi ISO/IEC: n virkamiehille mahdollisuuden ryhmitellä tulevat turvallisuusstandardit yhteen ohjeiden luokkaan, jotta ne olisivat helposti saatavilla. Vuonna 2007 standardiin tehtiin vain muutamia muutoksia, koska valinta uudelleennumeroida tällaiset standardit oli puhtaasti hallinnollinen muutos vastaamaan ennakoituja tulevia tarpeita.
ISO 17799 käsitteli alusta alkaen sellaisia asioita kuin turvallisuuspolitiikat, pääsyn valvonta, tietotyyppien määrittäminen, tietojärjestelmien kehittäminen ja riskinarviointi. Organisaatiojohtajat voivat käyttää ISO 17799 -standardia oppaana tietojärjestelmien kehittämisessä ja niiden turvallisuuden varmistamisessa. Lisäohjeissa, jotka koskevat olemassa olevien järjestelmien hankintaa, kuten tyypillisesti tapahtuu yrityskeskittymien yhteydessä, hahmoteltiin toimenpiteitä tietoturvan ylläpitämiseksi rajoittamatta avainhenkilöiden pääsyä. Ensimmäiseen ISO 17799 -standardiin sisältyi myös suosituksia tietoturvakäytäntöjen kehittämisestä ja tietoturvaloukkausten käsittelystä.
Alun perin koko ISO 17799 -standardi sisälsi yksitoista aihekohtaista osaa. Näihin osiin kuuluivat turvallisuuspolitiikka, tietoturvan organisointi, omaisuuden hallinta, henkilöresurssit, fyysinen ja ympäristön turvallisuus, viestinnän ja toiminnan hallinta, kulunvalvonta, tietojärjestelmien hankinta, tapahtumien hallinta, liiketoiminnan jatkuvuuden hallinta ja vaatimustenmukaisuus. ISO/IEC 27002 sisälsi lisäaiheen osion heti johdanto -osien jälkeen, joka kattoi yksinomaan riskinarvioinnin. Kaikki muut aihekohtaiset osiot pysyivät ennallaan, mutta ne sisälsivät asiaankuuluvia päivityksiä ja tarkistuksia.