• ISO/IEC 27002

Log in / create account   
article   discussion   edit this page   history    
ISO/IEC 27002 
From Wikipedia, the free encyclopedia
  (Redirected from ISO 17799) 
ISO/IEC 27002 part of a growing family of ISO/IEC ISMS standards, the 'ISO/IEC 27000 series' is an information security standard published by the 
navigation International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC) as ISO/IEC 17799:2005 and 
Main page    subsequently renumbered ISO/IEC 27002:2005 in July 2007, bringing it into line with the other ISO/IEC 27000­series standards. It is entitled 
Contents    Information technology ­ Security techniques ­ Code of practice for information security management. The current standard is a revision of the version 
Featured content    first published by ISO/IEC in 2000, which was a word­for­word copy of the British Standard (BS) 7799­1:1999. 
Current events   
ISO/IEC 27002 provides best practice recommendations on information security management for use by those who are responsible for initiating, 
Random article   
implementing or maintaining Information Security Management Systems (ISMS). Information security is defined within the standard in the context of 
search the C­I­A triad: 
  the preservation of confidentiality (ensuring that information is accessible only to those authorised to have access), integrity (safeguarding the 
Go    Search  
accuracy and completeness of information and processing methods) and availability (ensuring that authorised users have access to information 
and associated assets when required). 
interaction
Contents 
About Wikipedia  
Community portal   1 Outline of the Standard  
Recent changes   2 National Equivalent Standards 
Contact Wikipedia   3 Certification  
Donate to Wikipedia   4 See also  
Help  
5 External links  
toolbox
What links here   Outline of the Standard  [edit]
Related changes  
Upload file   After the introductory sections, the standard contains the following twelve main sections:
Special pages   
1. Risk assessment  
Printable version  
Permanent link 
2. Security policy ­ management direction  
Cite this page   3. Organization of information security ­ governance of information security  
4. Asset management ­ inventory and classification of information assets  
languages
5. Human resources security ­ security aspects for employees joining, moving and leaving an organization  
Deutsch  
6. Physical and environmental security ­ protection of the computer facilities  
Español   
Français   7. Communications and operations management ­ management of technical security controls in systems and networks  
Bahasa Indonesia    8. Access control ­ restriction of access rights to networks, systems, applications, functions and data   
日本語   9. Information systems acquisition, development and maintenance ­ building security into applications  
Nederlands    10. Information security incident management ­ anticipating and responding appropriately to information security breaches  
Português  
11. Business continuity management ­ protecting, maintaining and recovering business­critical processes and systems  
Русский  
Svenska  
12. Compliance ­ ensuring conformance with information security policies, standards, laws and regulations  
Within each section, information security controls and their objectives are specified and outlined. The information security controls are generally 
regarded as best practice means of achieving those objectives. For each of the controls, implementation guidance is provided. Specific controls are 
not mandated since:
1. Each organization is expected to undertake a structured information security risk assessment process to determine its specific requirements 
before selecting controls that are appropriate to its particular circumstances. The introduction section outlines a risk assessment process 
although there are more specific standards covering this area such as ISO/IEC 27005.  
2. It is practically impossible to list all conceivable controls in a general purpose standard. Industry­specific implementation guidelines for 
ISO/IEC 27001 and '27002 are anticipated to give advice tailored to organizations in the telecomms, financial services, healthcare and other 
industries. 
National Equivalent Standards  [edit]
ISO/IEC 27002 has directly equivalent national standards in several countries. Translation and local publication often results in several months' delay 
after the main ISO/IEC standard is revised and released, but the national standard bodies go to great lengths to ensure that the translated content 
accurately and completely reflects ISO/IEC 27002.
Countries Equivalent Standard
 Australia 
  AS/NZS ISO/IEC 17799:2006
 New Zealand
 Brazil ISO/IEC NBR 17799/2007 ­ 27002
 Denmark DS484:2005
 Estonia EVS­ISO/IEC 17799:2003, 2005 version in translation
 Japan JIS Q 27002
 Lithuania LST ISO/IEC 17799:2005
 Netherlands NEN­ISO/IEC 17799:2002 nl, 2005 version in translation
  Poland PN­ISO/IEC 17799:2007, based on ISO/IEC 17799:2005
 Peru NTP­ISO/IEC 17799:2007
 Spain UNE 71501
 Sweden SS 627799
 United Kingdom BS ISO/IEC 27002:2005
 Uruguay UNIT/ISO 17799:2005
Certification  [edit]
ISO/IEC 27001 (Information technology ­ Security techniques ­ Information security management systems ­ Requirements) specifies a number of 
requirements for establishing, implementing, maintaining and improving an information security management system consistent with the best 
practices outlined in ISO/IEC 27002.
See also  [edit]
ISO/IEC_27000­series  
BS 7799, the original British Standard from which ISO/IEC 17799 and then ISO/IEC 27002 was derived  
List of ISO standards  
Standard of Good Practice published by the Information Security Forum  
IT baseline protection  
External links  [edit]
The ISO 17799 Newsletter   
Categories: ISO standards | IEC standards | Computer security standards 
This page was last modified on 29 January 2009, at 15:34.  All text is available under the terms of the GNU Free Documentation License. (See 
Copyrights for details.)  
Wikipedia® is a registered trademark of the Wikimedia Foundation, Inc., a U.S. registered 501(c)(3) tax­deductible nonprofit charity. 
Privacy policy  About Wikipedia  Disclaimers