ISO/IEC 27002
ISO / IEC 27002[1] — стандарт інформаційної безпеки, опублікований організаціями ISO і IEC. Він має назву Інформаційні технології — Технології безпеки — Практичні правила менеджменту інформаційної безпеки (англ. Information technology — Security techniques — Code of practice for information security management). До 2007 року цей стандарт називався ISO / IEC 17799. Стандарт розроблений в 2005 році на основі версії ISO 17799, опублікованій у 2000, яка була повною копією Британського стандарту BS 7799-1: +1999.
Стандарт надає кращі практичні поради з менеджменту інформаційної безпеки для тих, хто відповідає за створення, реалізацію або обслуговування систем менеджменту інформаційної безпеки. Інформаційна безпека визначається стандартом як «збереження конфіденційності (впевненості в тому, що інформація доступна тільки тим, хто уповноважений мати такий доступ), цілісності (гарантії точності і повноти інформації, а також методів її обробки) і доступності (гарантії того, що уповноважені користувачі мають доступ до інформації та пов'язаним з нею ресурсів)».
Поточна версія стандарту складається з наступних основних розділів:
- Політика безпеки (Security policy)
- Організація інформаційної безпеки (Organization of information security)
- Управління ресурсами (Asset management)
- Безпека персоналу (Human resources security)
- Фізична безпека і безпека оточення (Physical and environmental security)
- Управління комунікаціями та операціями (Communications and operations management)
- Управління доступом (Access control)
- Придбання, розробка та підтримка систем (Information systems acquisition, development and maintenance)
- Управління інцидентами інформаційної безпеки (Information security incident management)
- Управління безперебійною роботою організації (Business continuity management)
- Відповідність нормативним вимогам (Compliance)