Bei der Bezeichnung ISO/IEC 27002 handelt es sich um eine Neubenennung der alten Norm ISO/IEC 17799. Diese Norm beschreibt Verfahrensregeln zur Sicherung von Informationen. Darin werden umrisshaft hunderte von potentiell einführbaren Kontrollen und Kontrollmechanismen dargestellt, die theoretisch unter Befolgung der in der Norm ISO/IEC 27001 angegebenen Verfahrensregeln implementiert werden können. Die Norm "legt Richtlinien und allgemeine Prinzipien für Einleitung, Implemetierung, Aufrechterhaltung und Verbesserung des Informationssicherheitsmangements in Organisationen fest". Die in der Norm aufgeführten Kontrollmechanismen sollen dazu dienen, die über eine formelle Risikobewertung festgelegten spezifischen Anforderungen hinsichtlich der Sicherung von Informationen zu erfüllen. Die Norm sollen auch als Anleitung dazu dienen, um "organisationelle Sicherheitsstandards und effektive Praktiken für das Sicherheitsmanagement zu entwickeln und dazu beitragen, das Vertrauen in interorganisationelle Aktivitäten zu erhöhen".

Die Grundlage der Norm bildete ursprünglich ein von der Regierung von Großbritannien veröffentlichtes Dokument, das im Jahr 1995 zu einer 'tatsächlichen' Norm wurde, als es durch das englische Normeninstitut BSI als BS7799 wiederveröffentlicht wurde. Im Jahr 2000 wurde es noch einmal wiederveröffentlicht, dieses Mal durch die ISO/IEC als ISO/IEC 17799. Eine neue Version davon erschien im Jahr 2005 zusammen mit einer neuen Veröffentlichung, der Norm ISO/IEC 27001. Diese beiden Dokumente sollten zusammen verwendet werden, wobei sich beide gegenseitig ergänzen.

Die Zukunftspläne der ISO für diese Norm konzentrieren sich heute hauptsächlich darauf, industriespezifische Versionen zu entwickeln und zu veröffentlichen (zum Beispiel für das Gesundheitswesen, die Industrieproduktion und so weiter). Beachten Sie bitte, dass dies ein zeitaufwändiger Prozess ist und die neuen Normen daher erst nach einiger Zeit veröffentlicht werden.