La ISO/IEC 27002 fa parte della famiglia degli standard ISO/IEC ISMS, la serie ISO/IEC 27000 è uno standard sulla sicurezza delle informazioni pubblicato da International Organization for Stadardization (ISO) e la International Electrotechnical Commission (IEC) come ISO/IEC 17799:2005 e successivamente rinominato ISO/IEC 27002:2005 nel luglio del 2007, per seguire le altre norme della serie ISO/IEC 27000. E' definita Information technology - Security techniques - Code of practice for information security management. L'attuale versione è una revisione della prima versione pubblicata dalla ISO/IEC nel 2000, la quale copia parola per parola il British Standard (BS) 7799-1:1999.

La ISO/IEC 27002 fornisce delle buone (best practice) raccomandazioni sulla gestione della sicurezza delle informazioni dall'uso di coloro che sono responsabili per la realizzazione, implementazione o mantenimento di un Sistema di Gestione della Sicurezza delle Informazioni [(Information Security Management Systems (ISMS)].

La sicurezza delle informazioni è definita all'interno dello standard nel contesto della triade C-I-A:

• la conservazione della Confidentiality | Confidenzialità (assicurare che l'informazioni sia accessibile solo a coloro che ne sono stati autorizzati all'accesso);
• l' Integrity | Integrità (salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione);
• la Availability | Disponibilità (assicurare che gli utenti autorizzati possano aver accesso alle informazioni e agli asset a queste associati quando richiesto).