ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则(Code of Practice for Information Security Management),其中包含11个主题,定义了133个安全控制。ISO17799:2005中的11个主题分别是:
◆ 安全策略(Security policy); ◆ 信息安全组织(Organization of information security); ◆ 资产管理(Asset management); ◆ 人力资源安全 (Human resource security); ◆ 物理和环境安全(Physical and environmental security); ◆ 通信和操作管理(Communication and operation management); ◆ 访问控制(Access control); ◆ 信息系统获取、开发和维护(Information systems acquisition, development and maintenance); ◆ 信息安全事件管理(Information security incident management); ◆ 业务连续性管理(Business continuity management); ◆ 符合性(Compliance)。
ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理体系。