Apareció con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación.

La BS 7799-2, publicada por primera vez en 1998, establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

Se hace revisión de las 2 partes de la norma

Despues de la revisión de la BS 7799, ISO adopta la primera parte, sin cambios sustanciales, y la nombra ISO 17799.

Se revisa la segunda parte de la BS 7799, con el fin de adecuarse a la filosofía de normas ISO de sistemas de gestión.

Al 2005, más de 1700 empresas estaban certificadas en BS 7799-2, ISO la adopta con algunos cambios, como estándar ISO 27001.

BSI publicó la BS 7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.

El 1 de Julio de 2007, ISO revisó y actualizó la 17799 y la renombró como ISO 27002:2005, manteniendo el contenido así como el año de publicación formal de la revisión.

ISO/IEC 27000:
Publicada el 1 de Mayo de 2009

Segunda edición de 01 de Diciembre de 2012

Únicamente considerar la reciente publicación de la revisión de las normas ISO/IEC 27001:2013, ISO/IEC 27002:2013 ambas aprobadas en la misma fecha.

Tercera edición de 14 de Enero de 2014

Cuarta edición en Febrero de 2016.