Starptautiskā standartizācijas organizācija (ISO) ir nevalstiska organizācija, kas pastāv, lai izstrādātu standartus galvenokārt tehniskiem priekšmetiem. ISO 27002 ir standartu un procedūru kopums, kas nodrošina informācijas drošību un kontroli, kas ļauj uzņēmumam nodrošināt pareizu drošību. Līdz 2005. gadam ISO 27002 bija divi citi nosaukumi. Šo standartu lielā mērā papildina ISO 27001, kurā ir sīki aprakstīti vadības uzdevumi, piemēram, riska novērtēšana un drošības pārskatīšana, nevis 27002 kontroles aspekts.
Pirms ISO 27002 tika ieviesti divi standarti, katrs pēc tēmas un kontroles līdzīgs. Pirmā iemiesošanās notika 1995. gadā un parādījās Apvienotajā Karalistē (AK) kā BS7799. Pēc tīrīšanas un modernizācijas to atkal publicēja ISO — šoreiz — ISO 17799. 2005. gadā pēc turpmākiem labojumiem to sauca par ISO 27002. Lai gan katra versija ir atšķirīga un secīgi izceļ modernākas problēmas un vadīklas, visas trīs inkarnācijas nodarbojas ar informācijas drošību.
Standarts 27002 izceļ simtiem veidu, kā rīkoties ar informācijas drošību, un tajā ir daudz dažādu nodaļu par dažādiem informācijas drošības aspektiem. Dažas nodaļas attiecas uz cilvēkresursiem un to mijiedarbību ar informāciju, savukārt citās ir norādīts, kā uzņēmumam kontrolēt piekļuvi un darbības nepārtrauktību, izmantojot drošības procedūru. Informācijas drošība parasti ietver informācijas tehnoloģiju (IT), taču ISO 27002 attiecas arī uz papīra informāciju un līdzekļiem, lai gan lielākā daļa standarta ir paredzēta IT nodaļai.
Pirmajā versijā 27002 standarts bija paredzēts kā visaptverošs standarts visām iestādēm, kurām nepieciešama informācijas drošība. Tas nozīmē, ka uzņēmums, bezpeļņas iestāde, valsts aģentūra un uzņēmums ievēro vienu un to pašu standartu. Turpmākās šī standarta publikācijas ir vērstas uz standarta nodalīšanu dažādās nozarēs, lai tas būtu efektīvāks.
ISO 27002 ir ļoti detalizēti aprakstītas vadības ierīces un procedūras, kas saistītas ar informācijas drošību. Citi standarti, piemēram, papildu ISO 27001, piedāvā tikai vienu vai divus teikumus par vadību. Tā vietā 27002 tiek kontrolēts ar ļoti detalizētu informāciju, bet pārvaldības gadījumā piedāvā maz. Ar ISO 27001 ir noteikti visi pārvaldības aspekti.
Daudzi cilvēki jauc ISO 27001 un 27002, jo tie apstrādā vienus un tos pašus priekšmetus dažādos veidos. Tas nozīmē, ka daudziem cilvēkiem ir jābrīnās, kāpēc standarts tika sadalīts divās daļās. Iemesls ir tāpēc, ka, ja abas daļas pastāvētu kopā, tas būtu pārāk ilgi vienai publikācijai.