/IEC17799是國際標準化組織/IEC JTC1/SC27最早發布的ISMS系列標準之一。它從信息安全的諸多方面，總結了一百多項信息安全控制措施，并給出了詳細的實施指南，為組織采取控制措施、實現信息安全目標提供了選擇，是信息安全的最佳實踐。 
1       /IEC17799的由來
　　組織對信息安全的要求是隨著組織業務對信息技術尤其是網絡技術的應用而來的。人們在解決信息安全問題以滿足信息安全要求的過程中，經歷了由“重技術輕管理”到“技術和管理并重”的兩個不同階段。
　　當信息安全問題開始出現的初期，人們解決信息安全問題的主要途徑就是安裝和使用信息安全產品，如加密機、防火墻、入侵檢測設備等。信息安全技術和產品的應用，一定程度上解決了部分信息安全問題。但是人們發現僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，仍然無法避免一些信息安全事件的發生。與組織中個人有關的信息安全問題、信息安全成本和效益的平衡、信息安全目標、業務連續性、信息安全相關法規符合性等，這些問題與信息安全的要求都密切相關，而僅僅通過產品和技術是無法解決的。
　　上個世紀90年代末，人們開始意識到管理在解決信息安全問題中的作用。1993年9月，由英國貿工部（DTI）組織許多企業參與編寫了一個信息安全管理的文本－“信息安全管理實用規則（Code of practice for information security management）”，1995年2月，在該文本的基礎上，英國發布了國家標準BS7799-1:1995。1999年英國對該標準進行了修訂后發布1999年版，2000年12月被采納成為國際標準，即/IEC17799:2000。2005年6月15日，該標準被修訂發布為/IEC17799:2005。
　　同時伴隨著/IEC17799發展的還有另一個與其密切相關的標準，即1998年2月英國發布的英國國家標準BS7799-2:1998，1999年英國對該標準進行了修訂后發布1999版。2000年12月，當BS7799-1:1999被采納成為國際標準時，BS7799-2:1999并沒有被國際標準化組織采納為國際標準。2002年英國又對BS7799-2:1999進行了修訂發布2002版，這個版本在內容和結構上與1999版相比發生了巨大的變化。2005年10月，這個標準被采納成為國際標準/IEC27001:2005。
2       /IEC17799的范圍
　　S/IEC17799為組織實施信息安全管理提供建議，供一個組織中負責信息安全工作的人員使用。該標準適用于各個領域、不同類型、不同規模的組織。對于標準中提出的任何一項具體的信息安全控制措施，組織應考慮本國的法律法規以及組織的實際情況來選擇使用。參照本標準，組織可以開發自己的信息安全準則和有效的安全管理方法，并提供不同組織間的信任。
3       /IEC17799的主要內容
　　/IEC17799:2005是一個通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問題的最佳實踐。
　　標準從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問題入手，循序漸進，從11個方面提出了39個信息安全控制目標和133個控制措施。每一個具體控制措施，標準還給出了詳細的實施方面的信息，以方便標準的用戶使用。
　　值得注意的是，標準中推薦的這133個控制措施，并非信息安全控制措施的全部。組織可以根據自己的情況選擇使用標準以外的控制措施來實現組織的信息安全目標。
從內容和機構上看，可以將標準分為四個部分：
　　一引言部分。主要介紹了信息安全的基礎知識，包括什么是信息安全、為什么需要信息安全、如何建立安全要求、評估安全風險等8個方面內容。
　　二標準的通用要素部分（1～3章）。第1章是標準的范圍。第2章是術語和定義，介紹信息安全、風險評估和風險管理等三個術語。第3章概述標準的機構。
　　三風險評估和處理部分。第4章專門介紹風險評估和處理。概述了風險評估和處理的方法和基本要求。
　　四控制措施部分（5～15章）。這是標準的主體部分，包括11個控制措施章節，每個控制措施章節的內容說明、控制目標和控制措施數量詳細情況如下表所示：