安全是一种"买不到"的东西。打开包装箱后即插即用并提供足够安全水平的安全防护体系是不存在的,因此,一些企业虽然安装了一些安全产品,但并不等于拥有了一个真正的安全体系。而且相关调查数据显示,超过75%的信息系统泄密和恶意攻击事件都是人为造成的,即由于信息安全管理的缺位而造成的。而技术本身实际上只是信息安全体系里的一小部分。不管一项技术有多先进,都只不过是辅助实现信息安全的手段而已。大部分的信息安全管理专家认为技术并不是不重要,但在信息安全的架构里,它一定要在好的信息安全管理的基础上,所以在业界素有三分技术,七分管理的说法。

 
    正是在这样的世界大环境和学术界共同认同的原则下,各国的研究机构都纷纷研究和制定信息安全管理、风险评估、信息安全技术的标准,而英国标准化协会(BSI),这个在全世界标准界负有盛名的机构,在成功地为ISO9000、ISO14000、OHSAS18000等世界著名的标准打好基础后,又一次在信息安全管理领域拔得头筹,其制定的BS7799信息安全管理标准又一次成为国际上最具权威的和最具代表性的标准。

 
早在1995年2月,英国标准协会(BSI)就提出制定信息安全管理标准,并迅速于1995年5月制订完成,且于1999年重新修改了该标准。BS7799分为两个部分:BS7799-1,《信息安全管理实施规则》;BS7799-2《信息安全管理体系规范》;其中BS7799-1:1999于2000年12月通过ISO/IECJTC1(国际标准化组织和国际电工委员会的联合技术委员会)认可,正式成为国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。这是通过ISO表决最快的一个标准,足见世界各国对该标准的关注和接受程度。而在2002年9月5日英国标准化协会又发布了新版本BS7799-2:2002替代了BS7799-2:1999。