安全是一種"買不到"的東西。打開包裝箱后即插即用并提供足夠安全水平的安全防護體系是不存在的,因此,一些企業雖然安裝了一些安全產品,但并不等于擁有了一個真正的安全體系。而且相關調查數據顯示,超過75%的信息系統泄密和惡意攻擊事件都是人為造成的,即由于信息安全管理的缺位而造成的。而技術本身實際上只是信息安全體系里的一小部分。不管一項技術有多先進,都只不過是輔助實現信息安全的手段而已。大部分的信息安全管理專家認為技術并不是不重要,但在信息安全的架構里,它一定要在好的信息安全管理的基礎上,所以在業界素有三分技術,七分管理的說法。

 
    正是在這樣的世界大環境和學術界共同認同的原則下,各國的研究機構都紛紛研究和制定信息安全管理、風險評估、信息安全技術的標準,而英國標準化協會(BSI),這個在全世界標準界負有盛名的機構,在成功地為ISO9000、ISO14000、OHSAS18000等世界著名的標準打好基礎后,又一次在信息安全管理領域拔得頭籌,其制定的BS7799信息安全管理標準又一次成為國際上最具權威的和最具代表性的標準。

 
早在1995年2月,英國標準協會(BSI)就提出制定信息安全管理標準,并迅速于1995年5月制訂完成,且于1999年重新修改了該標準。BS7799分為兩個部分:BS7799-1,《信息安全管理實施規則》;BS7799-2《信息安全管理體系規范》;其中BS7799-1:1999于2000年12月通過ISO/IECJTC1(國際標準化組織和國際電工委員會的聯合技術委員會)認可,正式成為國際標準,即ISO/IEC17799:2000《信息技術-信息安全管理實施細則》。這是通過ISO表決最快的一個標準,足見世界各國對該標準的關注和接受程度。而在2002年9月5日英國標準化協會又發布了新版本BS7799-2:2002替代了BS7799-2:1999。