安全涉及保护有价值的资产不被遗失、滥用、泄露或者损害。这里的“有价值的资产”特指从电子媒介上记录、处理、存储、共享、传送和接受的信息。在不断变化的技术环境中，今天最好的安全措施在明天可能过时。安全措施必须紧跟这些变化，必须被作为系统开发生命周期过程整体的一部分加以考虑，并在过程的每一阶段明确定位。有效的安全需要主动、及时的制度安排。

由英国标准协会（BSI）制定的BS 7799 作为信息安全管理领域的一个权威标准，该标准的最大意义就在于它给管理层一整套可量体裁衣的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言以及保护信息资产的制度框架。

BS 7799 提供了一个组织进行有效安全管理的公共基础，涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解，一般的单位都可以制定，具有可操作性，推广信息安全管理标准的关键在于重视程度和制度落实方面。

BS 7799 将IT 策略和组织发展方向统一起来，确保IT 资源用得其所，使与IT 相关的风险受到适当的控制。该标准通过保证信息的机密性，完整性和可用性来管理和保护组织的所有信息资产，通过方针、惯例、程序、组织结构和软件功能来确定控制方式并实施控制，组织按照这套标准管理信息安全风险，可持续提高管理的有效性和不断提高自身的信息安全管理水平，降低信息安全对持续发展造成的风险，最终保障组织的特定安全目标得以实现，进而利用信息技术为组织创造新的战略竞争机遇。

BS 7799 主要提供了有效地实施IT 安全管理的建议，介绍了安全管理的方法和程序。用户可以参照这个完整的标准制订出自己的安全管理计划和实施步骤，为发展、实施和估量有效的安全管理实践提供参考依据。

2000 年12 月，BS 77991 通过国际化标准组织认可，正式成为国际标准ISO17799。目前，已有20 多个国家引用BS 77992 作为国标，BS 7799(ISO/IEC17799)也是卖出拷贝最多的管理标准，其在欧洲的证书发放量已经超过ISO9001，越来越多的信息安全公司都以BS7799 作指导为客户提供信息安全咨询服务。

BS 7799 信息安全管理体系标准强调风险管理的思想。传统的信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式、事后纠正式的管理方式，导致的结果是不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失。而BS 7799标准基于风险管理的思想，指导组织建立信息安全管理系统。