ISO 17799 yra pasenęs informacijos saugumo standartas, kurį 2000 m. priėmė Tarptautinė standartizacijos organizacija (ISO). Praktikos kodeksas, sukurtas iš Didžiosios Britanijos standarto, žinomo kaip BS7799, apibrėžė geriausią praktiką, susijusią su informacijos konfidencialumu, vientisumu ir prieinamumu. organizacija. Oficialiai žinomas kaip ISO/IEC 17799, standartas buvo skirtas vadovauti informacijos valdymo personalui, atsakingam už saugos sistemų kūrimą. Aptartos temos buvo informacijos saugumo terminų apibrėžimas, informacijos tipų klasifikavimas, minimalių reikalavimų apibūdinimas ir tinkamų atsakymų į saugumo pažeidimus siūlymas.
Iki 2005 m. dėl technologijų pažangos reikėjo peržiūrėti ISO 17799, kad jis atitiktų tuometinę praktiką ir galimybes. Įprasta ISO kas kelerius metus peržiūrėti standartus, siekiant užtikrinti, kad gairės, praktikos kodeksai ir standartai būtų aktualūs ir atspindėtų dabartines technologijas bei tarptautinę verslo filosofiją. Po 2005 m. peržiūrų ISO 17799 tapo žinomas kaip ISO/IEC 17799:2005. Kad būtų lengviau atskirti įvairius ISO 17799 įsikūnijimus, pradinis standartas tapo žinomas kaip ISO/IEC 17799:2000.
2007 m. ISO ir Tarptautinė elektrotechnikos komisija (IEC) pernumeravo ISO 17799 standartą, pažymėdami jį kaip ISO/IEC 27002. ISO 27000 serija, dažnai vadinama ISMS standartų šeima, susijusi tik su informacijos saugumo valdymo sistemomis arba ISMS. . Pernumeravus ISO 17799, ISO/IEC pareigūnai galėjo sugrupuoti būsimus saugos standartus į vieną gairių kategoriją, kad būtų lengviau juos rasti. 2007 m. atlikta nedaug standarto pakeitimų, nes pasirinkimas pernumeruoti tokius standartus buvo tik administracinis pakeitimas, kad būtų galima atsižvelgti į numatomus ateities poreikius.
Nuo pat pradžių ISO 17799 nagrinėjo tokius dalykus kaip saugumo politika, prieigos kontrolė, informacijos tipų apibrėžimas, informacinių sistemų kūrimas ir rizikos vertinimas. Organizacijų vadovai galėtų naudoti ISO 17799 kaip informacinių sistemų kūrimo ir tokių sistemų saugumo užtikrinimo vadovą. Papildomose gairėse dėl esamų sistemų įsigijimo, kaip paprastai būna įmonių susijungimo metu, buvo nurodyti žingsniai, kaip palaikyti informacijos saugumą neapribojant pagrindinių darbuotojų prieigos. Rekomendacijos dėl saugos praktikos kūrimo ir saugumo pažeidimų tvarkymo taip pat buvo įtrauktos į pirmąjį ISO 17799.
Iš pradžių visas ISO 17799 standartas apėmė vienuolika konkrečių temų skyrių. Šios dalys apėmė saugumo politiką, informacijos saugumo organizavimą, turto valdymą, žmogiškųjų išteklių saugumą, fizinį ir aplinkos saugumą, ryšių ir operacijų valdymą, prieigos kontrolę, informacinių sistemų įsigijimą, incidentų valdymą, veiklos tęstinumo valdymą ir atitiktį. ISO/IEC 27002 iš karto po įvadinių skyrių įtraukė papildomą temų skyrių, kuriame buvo išskirtinai įvertintas rizikos vertinimas. Visi kiti konkrečios temos skyriai liko nepakitę, tačiau juose buvo atitinkamų atnaujinimų ir pataisymų.