ISO IEC 27002 2005 tenía 11 secciones principales (5 a 14), mientras que la norma ISO IEC 27002 2013 cuenta ahora con 14 (5 a 18). Estas nuevas secciones tratan criptografía, seguridad de las comunicaciones y relaciones con los proveedores (secciones 10, 13 y 15 respectivamente). Sin embargo, mientras que la nueva norma tiene tres más secciones, es, de hecho, más corto y más centrado que el anterior. El estándar de edad tenía 106 páginas de contenido, mientras que el nuevo tiene solamente 78.

ISO IEC 27002 2013 también tiene varias subsecciones nuevas. Estas nuevas subsecciones discuten proyecto de gestión de la seguridad (6.1.5),los activosde manipulación (8.2.3), el software de instalación (12.6.2), el desarrollo seguro (14.2.1), principios de ingeniería de sistemas seguros (14.2.5),segurosentornos de desarrollo (14.2.6), pruebas de seguridad del sistema (14.2.8), la seguridad de proveedores (15.1.1, 15.1.2, 15.1.3 y), la evaluación de los eventos de seguridad (16.1.4), la planificación, implementación y verificación de la información seguridad continuidad (17.1.1, 17.1.2, 17.1.3 y), y el uso de instalaciones de procesamiento de información redundante (17.2.1).

Además, la mayoría de secciones se han reescrito, al menos en cierta medida, y algunas secciones han sido desmontada ni trasladado a otras secciones. Por ejemplo, el antiguo artículo 14 de la continuidad del negocio ha sido completamente rediseñado. Además, las viejas secciones sobre cómo organizar la seguridad (6), en comunicaciones y operaciones (10), y de control de acceso (11) eran totalmente rediseñado, dividir, y se trasladaron a otras secciones más adecuados. Y la vieja sección introductoria 4 en la gestión del riesgo se eliminó por completo, presumiblemente debido a la norma ISO IEC 27005 y la ISO 31000 ahora discutir esto en detalle y así ISO IEC 27002 no tiene que cubrir el mismo terreno.

También ha habido algunos cambios en la terminología. Los privilegios se han convertido en derechos de acceso privilegiados, la palabra contraseñas ha en gran medida han sustituido por el más engorroso frase secreta información de autenticación, los usuarios de terceros ahora se conocen como externas del partido a los usuarios, el verbo de verificación ha sido sustituido por verificar, código malicioso es ahora el malware, los registros de auditoría son ahora los registros de eventos, en línea las transacciones son ahora conocidos como las transacciones de servicios de aplicaciones, y nuestro favorito: el comercio electrónico es ahora servicios de aplicaciones que pasan a través de redes públicas. Evidentemente esto es progreso.