定義
ISO/IEC17799-2000（BS7799-1）對信息安全管理給出(Out)建議，供負責在(Exist)其組織啓動、實施或維護安全的(Of)人(People)員使用(Use)。該标準爲(For)開發組織的(Of)安全标準和(And)有效的(Of)安全管理做法提供公共基礎，并爲(For)組織之間的(Of)交往提供信任。
标準指出(Out)“象其他(He)重要(Want)業務資産一(One)樣，信息也是一(One)種資産”。它對一(One)個(Indivual)組織具有價值，因此需要(Want)加以(By)合适地保護。信息安全防止信息受到(Arrive)的(Of)各種威脅，以(By)确保業務連續性，使業務受到(Arrive)損害的(Of)風險減至最小，使投資回報和(And)業務機會最大(Big)。
信息安全是通過實現一(One)組合适控制獲得的(Of)。控制可以(By)是策略、慣例、規程、組織結構和(And)軟件功能。需要(Want)建立這(This)些控制，以(By)确保滿足該組織的(Of)特定安全目标。

内容
ISO/IEC17799-2000包含了127個(Indivual)安全控制措施來(Come)幫助組織識别在(Exist)運做過程中對信息安全有影響的(Of)元素，組織可以(By)根據适用(Use)的(Of)法律法規和(And)章程加以(By)選擇和(And)使用(Use)，或者增加其他(He)附加控制。國(Country)際标準化組織（ISO）在(Exist)2005年對ISO 17799進行了修訂，修訂後的(Of)标準作(Do)爲(For)ISO 27000标準族的(Of)第一(One)部分——ISO/IEC 27001，新标準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一(One)章，重組部分控制措施，關聯性邏輯性更好，更适合應用(Use)；并修改了部分控制措施措辭。修改後的(Of)标準包括11個(Indivual)章節：
1）安全策略。指定信息安全方針，爲(For)信息安全提供管理指引和(And)支持，并定期評審。
2）信息安全的(Of)組織。建立信息安全管理組織體系，在(Exist)内部開展和(And)控制信息安全的(Of)實施。
3）資産管理。核查所有信息資産，做好信息分類，确保信息資産受到(Arrive)适當程度的(Of)保護。
4）人(People)力資源安全。确保所有員工，合同方和(And)第三方了解信息安全威脅和(And)相關事宜以(By)及各自的(Of)責任，義務，以(By)減少人(People)爲(For)差錯，盜竊，欺詐或誤用(Use)設施的(Of)風險。
5）物理和(And)環境安全。定義安全區域，防止對辦公場所和(And)信息的(Of)未授權訪問，破壞和(And)幹擾；保護設備的(Of)安全，防止信息資産的(Of)丢失，損壞或被盜，以(By)及對企業業務的(Of)幹擾；同時(Hour)，還要(Want)做好一(One)般控制，防止信息和(And)信息處理設施的(Of)損壞和(And)被盜。
6）通信和(And)操作(Do)管理。制定操作(Do)規程和(And)職責，确保信息處理設施的(Of)正确和(And)安全操作(Do)；建立系統規劃和(And)驗收準則，将系統失效的(Of)風險降到(Arrive)最低；防範惡意代碼和(And)移動代碼，保護軟件和(And)信息的(Of)完整性；做好信息備份和(And)網絡安全管理，确保信息在(Exist)網絡中的(Of)安全，确保其支持性基礎設施得到(Arrive)保護；建立媒體處置和(And)安全的(Of)規程，防止資産損壞和(And)業務活動的(Of)中斷；防止信息和(And)軟件在(Exist)組織之間交換時(Hour)丢失，修改或誤用(Use)。
7）訪問控制。制定訪問控制策略，避免信息系統的(Of)非授權訪問，并讓用(Use)戶了解其職責和(And)義務，包括網絡訪問控制，操作(Do)系統訪問控制，應用(Use)系統和(And)信息訪問控制，監視系統訪問和(And)使用(Use)，定期檢測未授權的(Of)活動；當使用(Use)移動辦公和(And)遠程控制時(Hour)，也要(Want)确保信息安全。
8）系統采集、開發和(And)維護。标示系統的(Of)安全要(Want)求，确保安全成爲(For)信息系統的(Of)内置部分，控制應用(Use)系統的(Of)安全，防止應用(Use)系統中用(Use)戶數據的(Of)丢失，被修改或誤用(Use)；通過加密手段保護信息的(Of)保密性，真實性和(And)完整性；控制對系統文件的(Of)訪問，确保系統文檔，源程序代碼的(Of)安全；嚴格控制開發和(And)支持過程，維護應用(Use)系統軟件和(And)信息安全。
9）信息安全事故管理。報告信息安全事件和(And)弱點，及時(Hour)采取糾正措施，确保使用(Use)持續有效的(Of)方法管理信息安全事故，并确保及時(Hour)修複。
10）業務連續性管理。目的(Of)是爲(For)減少業務活動的(Of)中斷，是關鍵業務過程免收主要(Want)故障或天災的(Of)影響，并确保及時(Hour)恢複。
11）符合性。信息系統的(Of)設計，操作(Do)，使用(Use)過程和(And)管理要(Want)符合法律法規的(Of)要(Want)求，符合組織安全方針和(And)标準，還要(Want)控制系統審計，使信息審核過程的(Of)效力最大(Big)化，幹擾最小化。

ISO27001的(Of)效益
1、通過定義、評估和(And)控制風險，确保經營的(Of)持續性和(And)能力
2、減少由于(At)合同違規行爲(For)以(By)及直接觸犯法律法規要(Want)求所造成的(Of)責任
3、通過遵守國(Country)際标準提高企業競争能力，提升企業形象
4、明确定義所有組織的(Of)内部和(And)外部的(Of)信息接口目标：謹防數據的(Of)誤用(Use)和(And)丢失
5、建立安全工具使用(Use)方針
6、謹防技術訣竅的(Of)丢失
7、在(Exist)組織内部增強安全意識
8、可作(Do)爲(For)公共會計審計的(Of)證據