1995年，英国贸工部根据英国国内企业对信息安全日益高涨的呼声，组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准BS7799-1：1995《信息安全管理实施规则》，作为企业和政府组织实施信息安全管理的指南。1998年，英国又制定了第一部《信息安全管理体系认证标准》BS7799-2：1998《信息安全管理体系规范》，作为对一个组织的全面或和部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO。2000年12月，ISO/IEC正式采纳BS7799-1：1999做为国际标准ISO/IEC17799：2000。

信息安全的涵义主要体现在以下三个方面：

安全性：确保信息仅可让授权获取的人士访问；

完整性：保护信息和处理方法的准确和完善；

可用性：确保授权人需要时可以获取信息和相应的资产。

ISO/IEC17799作为信息安全管理实用规则，针对信息安全管理给出了详细的、文件化的、易操作的建议，给组织的信息安全管理提供了最佳实践指导。

 管理要项：

10大管理要项，36个管理目标，127个控制措施

1）安全政策

制定信息安全方针，为信息安全提供管理指导和支持。　　

2）组织安全

建立信息安全基础设施，来管理组织范围内的信息安全；维持被第三方所访问的组织的信息处理设施和信息资产的安全，以及当信息处理外包给其他组织时，维护信息的安全。

3）资产的分类与控制

核查所有信息资产，以维护组织资产的适当保护，并做好信息分类，确保信息资产受到适当程度的保护。

4）人员安全

注意工作职责定义和人力资源中的安全，以减少人为差错、盗窃、欺诈或误用设施的风险；做好用户培训，确保用户知道信息安全威胁和事务，并准备好在其正常工作过程中支持组织的安全政策；制定对安全事故和故障的响应流程，使安全事故和故障的损害减到最小，并监视事故和从事故中学习。

5）物理和环境的安全

定义安全区域，以避免对业务办公场所和信息的未授权访问、损坏和干扰；保护设备的安全，防止信息资产的丢失、损坏或泄露和业务活动的中断；同时还要做好一般控制，以防止信息和信息处理设施的泄露或盗窃。

6）通信和操作管理

制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统故障的风险减低到最小；防范恶意软件，保护软件和信息的完整性；建立内务规程，以维护信息处理和通信服务的完整性和可用性；确保信息在网络中的安全，以及保护其支持基础设施；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或误用。

7）访问控制

制定访问控制的业务要求，以控制对信息的访问；建立全面的用户访问管理，避免信息系统的未授权访问；让用户了解他对维护有效访问控制的职责，防止未授权用户的访问；对网络访问加以控制，保护网络服务；建立操作系统级的访问控制，防止对计算机的未授权访问；建立应用访问控制，防止未授权用户访问保存在信息系统中的信息；监视系统访问和使用，检测未授权的活动；当使用移动计算和远程工作时，也要确保信息安全。

8）系统开发和维护

标识系统的安全要求，确保安全被构建在信息系统内；控制应用系统的安全，防止应用系统中用户数据的丢失、被修改或误用；使用密码控制，保护信息的保密性、真实性或完整性；控制对系统文件的访问，确保按安全方式进行IT项目和支持活动；严格控制开发和支持过程，维护应用系统软件和信息的安全。

9）业务持续性管理

目的为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响。

10）符合性

信息系统的设计、操作、使用和管理要符合法律要求，避免任何犯罪、违反民法、违背法规、规章或合约义务以及任何安全要求；定期审查安全政策和技术符合性，确保系统符合组织安全政策和标准；还要控制系统审核，使系统审核过程的效力最大化，干扰最小化。