Táto všeobecne uznávaná medzinárodná norma, poskytujúca usmernenia pre riadenie informačnej bezpečnosti. Je súčasťou rodiny noriem ISO/IEC 27000, ktorá sa zameriava na systémy riadenia informačnej bezpečnosti (ISMS). ISO/IEC 27002 konkrétne poskytuje súbor najlepších postupov a kontrol, ktoré môžu organizácie implementovať na zabezpečenie dôvernosti, integrity a dostupnosti svojich informačných aktív.
Norma pokrýva širokú škálu tém súvisiacich s informačnou bezpečnosťou, vrátane, ale nie výlučne:
Bezpečnostná politika: Vytvorenie rámca pre informačnú bezpečnosť v rámci organizácie.
Organizácia informačnej bezpečnosti: Definovanie rolí a zodpovedností za riadenie informačnej bezpečnosti.
Správa aktív: Identifikácia a správa informačných aktív, ako sú údaje, systémy a fyzické zdroje.
Bezpečnosť ľudských zdrojov: Riešenie bezpečnostných aspektov týkajúcich sa personálu, vrátane náboru, školenia a informovanosti.
Fyzická a environmentálna bezpečnosť: Ochrana fyzických priestorov a zariadení, v ktorých sa nachádzajú informačné aktíva.
Manažment komunikácie a prevádzky: Zabezpečenie bezpečnej prevádzky zariadení na spracovanie informácií, bezpečnosť siete a správa technických zraniteľností.
Kontrola prístupu: Riadenie prístupu používateľov k systémom a údajom a implementácia vhodných mechanizmov autentifikácie a autorizácie.
Akvizícia, vývoj a údržba informačných systémov: Integrácia bezpečnostných opatrení do životného cyklu vývoja informačných systémov.
Správa incidentov bezpečnosti informácií: Reakcia na incidenty a narušenia bezpečnosti informácií a obnova z nich.
Riadenie kontinuity podnikania: Zabezpečenie schopnosti organizácie pokračovať v prevádzke aj napriek prerušeniam.
Súlad: Splnenie právnych, regulačných a zmluvných bezpečnostných požiadaviek.
Norma ISO/IEC 27002 je navrhnutá tak, aby predstavovala komplexný rámec, ktorý môžu organizácie prijať na vytvorenie a udržiavanie efektívnych postupov v oblasti bezpečnosti informácií. Poskytuje návod, ktorý možno prispôsobiť špecifickým potrebám a rizikám organizácie. Implementácia ISO 27002 môže pomôcť organizáciám zlepšiť ich celkovú bezpečnostnú pozíciu, chrániť citlivé informácie a demonštrovať zainteresovaným stranám ich záväzok voči informačnej bezpečnosti.
Je dôležité poznamenať, že ISO/IEC 27002 nie je sama osebe certifikačnou normou; organizácie môžu požiadať o certifikáciu svojho systému riadenia informačnej bezpečnosti (ISMS) podľa normy ISO/IEC 27001, ktorá vyžaduje dodržiavanie kontrol a smerníc ISO/IEC 27002 ako súčasť certifikačného procesu.