/IEC17799是国际标准化组织/IEC JTC1/SC27最早发布的ISMS系列标准之一。它从信息安全的诸多方面，总结了一百多项信息安全控制措施，并给出了详细的实施指南，为组织采取控制措施、实现信息安全目标提供了选择，是信息安全的最佳实践。 
1       /IEC17799的由来
　　组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
　　当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。
　　上个世纪90年代末，人们开始意识到管理在解决信息安全问题中的作用。1993年9月，由英国贸工部（DTI）组织许多企业参与编写了一个信息安全管理的文本－“信息安全管理实用规则（Code of practice for information security management）”，1995年2月，在该文本的基础上，英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版，2000年12月被采纳成为国际标准，即/IEC17799:2000。2005年6月15日，该标准被修订发布为/IEC17799:2005。
　　同时伴随着/IEC17799发展的还有另一个与其密切相关的标准，即1998年2月英国发布的英国国家标准BS7799-2:1998，1999年英国对该标准进行了修订后发布1999版。2000年12月，当BS7799-1:1999被采纳成为国际标准时，BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版，这个版本在内容和结构上与1999版相比发生了巨大的变化。2005年10月，这个标准被采纳成为国际标准/IEC27001:2005。
2       /IEC17799的范围
　　S/IEC17799为组织实施信息安全管理提供建议，供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施，组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准，组织可以开发自己的信息安全准则和有效的安全管理方法，并提供不同组织间的信任。
3       /IEC17799的主要内容
　　/IEC17799:2005是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。
　　标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，标准还给出了详细的实施方面的信息，以方便标准的用户使用。
　　值得注意的是，标准中推荐的这133个控制措施，并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。
从内容和机构上看，可以将标准分为四个部分：
　　一引言部分。主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。
　　二标准的通用要素部分（1～3章）。第1章是标准的范围。第2章是术语和定义，介绍信息安全、风险评估和风险管理等三个术语。第3章概述标准的机构。
　　三风险评估和处理部分。第4章专门介绍风险评估和处理。概述了风险评估和处理的方法和基本要求。
　　四控制措施部分（5～15章）。这是标准的主体部分，包括11个控制措施章节，每个控制措施章节的内容说明、控制目标和控制措施数量详细情况如下表所示：