ISO/IEC 27001, bilgi güvenliği için yönetim sistemi uygulama gereksinimlerini içerir. ISO/IEC 27002 ise bilgi güvenliğini geliştirmek için kullanabilecek uygulamaları içermektedir. ISO/IEC 27001, onaylayabileceğiniz bir standarttır, ISO/IEC 27002 ise bilgi güvenliği kontrolleri için popüler, uluslararası kabul görmüş bir uygulama standardıdır.
ISO/IEC 27002, ISO/IEC 27001 gibi resmi bir spesifikasyon değildir. Genel, tavsiye niteliğinde bir belgedir. Bilginin gizliliği, bütünlüğü ve kullanılabilirliğine yönelik kabul edilemez riskleri azaltmak için bir dizi bilgi güvenliği kontrollerini açıklar. Kuruluşlar, rehberlik için ISO/IEC 27002 ‘yi kullanarak kabul edilemez risklerini azaltmak için uygun bilgi güvenliği kontrollerini seçerek ve uygulayarak kendi bilgi risklerini belirler ve değerlendirir.
Bir ISO standardının tipik ömrü beş yıldır. Bu süre sonunda standardın geçerliliğini sürdürüp sürdüremeyeceğine, revizyona ihtiyacı olup olmadığına veya geri çekilmesine karar verilir. ISO/IEC 27002 Standardı en son 2013 yılında yayımlanmıştır, yeni sürümü ise 9 yıl sonra 15 Şubat 2022 ‘de yayımlanarak 2013 sürümünün yerini almıştır. ISO/IEC 27001 Standardının revize edilmiş sürümü de 25 Ekim 2022 ‘de yayımlanmıştır.
