ISO/IEC 27002 muncul pada tahun 2005 sebagai pembaruan dari standar ISO 17799.
Awalnya bernama ISO 17799: 2005, ISO berganti nama menjadi ISO/IEC 27002: 2005 pada
tahun 2007. Ini untuk menyesuaikan ke penamaan konvensi digunakan oleh standar ISO/IEC
seri 27000 lainnya. ISO/IEC seri 27000 adalah pertumbuhan dari keluarga standar keamanan
informasi umum. ISO/IEC 27002 adalah “Kode Praktik Teknik Keamanan Teknologi
Informasi untuk Manajemen Keamanan Informasi”
Seperti pendahulunya, ISO/IEC 27002 menyediakan organisasi dengan rekomendasi praktik
terbaik tentang manajemen keamanan informasi. Standar mengarahkan rekomendasinya
kepada manajemen dan personel keamanan yang bertanggung jawab atas sistem manajemen
keamanan informasi. Keamanan informasi berada dalam standar pada konteks triad CIA
Kerahasiaan — Memastikan hanya pengguna yang berwenang, dan tidak ada orang
lain, yang dapat mengakses data.
Integritas — Memastikan hanya pengguna yang berwenang, dan tidak ada orang lain,
yang dapat mengubah data.
Ketersediaan — Memastikan bahwa pengguna yang berwenang memiliki akses ke
informasi pada saat diminta.
ISO / IEC 27002 mengembangkan pendahulunya dengan menambahkan dua bagian baru dan
mengatur ulang beberapa lainnya. ISO membagi standar baru menjadi 12 bagian utama :
Penilaian Risiko — Metode formal untuk mengidentifikasi dan mengklasifikasikan
risiko.
Kebijakan Keamanan — Pernyataan arahan manajemen.
Organisasi Keamanan Informasi — Tata kelola keamanan informasi atau caranya
keamanan informasi harus ditegakkan.
Manajemen Aset — Prosedur untuk memperoleh, mengklasifikasikan, dan mengelola
informasi aset.
Keamanan Sumber Daya Manusia — Panduan keamanan untuk personel yang
bergabung, keluar, atau pindah dalam suatu organisasi.
Keamanan Fisik dan Lingkungan — Perlindungan fasilitas komputer.
Manajemen Komunikasi dan Operasi — Mengelola kontrol keamanan teknis di sistem
dan jaringan.
Kontrol Akses — Kontrol yang membatasi hak akses ke sumber daya jaringan,
aplikasi, fungsi, dan data.
Pengembangan dan Pemeliharaan Akuisisi Sistem Informasi — Panduan untuk
merancang dan memasukkan keamanan ke dalam aplikasi.
Manajemen Insiden Keamanan Informasi — Mengantisipasi dan merespons dengan
tepat pelanggaran keamanan informasi.
Manajemen Kesinambungan Bisnis — Melindungi, memelihara, dan memulihkan
proses dan sistem bisnis yang penting
Kepatuhan — Memastikan kesesuaian dengan kebijakan keamanan informasi,
standar, Hukum dan regulasi.
Standar menentukan dan menguraikan kontrol keamanan yang direkomendasikan dalam
setiap bagian. Kebanyakan orang menganggap kontrol keamanan informasi sebagai
praktik terbaik. Praktik terbaik ini memberikan metode pencapaian masing-masing secara
objektif.
ISO / IEC 27002 juga memberikan panduan untuk mengimplementasikan setiap kontrol
yang direkomendasikan.