La ISO 17799 y BS 7799 son políticas de la seguridad y procedimientos de los estándares.
En 1989 – Se reúne un grupo de altos ejecutivos y especialistas en seguridad de las principales empresas Británicas (Shell, BT, Mark & Spencer, Nationwide Building Society, BOC), quienes deciden acordar controles claves para la Seguridad,
que todas las organizaciones puedan cumplir.
En 1995 el Department Trade & Industry (DTI) desarrolla 10 controles claves en un Código de Buenas Prácticas para la Administración de la Seguridad de la Información como Parte 1.
British Estándar Institute (BSI) publica la norma 7799, que era un código de buenas prácticas para la seguridad de la información.
En 1998 el BSI genera la Parte 2 , donde se detallan más de 100 controles como parte de un ISMS (Sistema de Administración de Seguridad de la Información), basado en una estrategia formal de Análisis de Riesgos.
Diciembre 2000 – Fue entregado el status ISO para la Parte 1 “Código de Buenas Prácticas” (ISO/IEC 17799).
2001 en adelante – Observamos cómo las empresas Europeas, Asiáticas y Norteamericanas han adoptado la Norma, principalmente por la necesidad de contar con un estándar confiable y globalmente aceptado para el mundo internet y el e-Business.
El estándar era conocido inicialmente como BS llamado estándar británico 7799, desarrollado por la institución británica de los estándares. Más adelante, se convirtió en el estándar del IEC 17799 de la ISO cuando fue adoptado por el comité técnico del IEC (Comisión Electrotécnica Internacional) de la ISO para el uso internacional.
Llaman IEC JTC (este es un comité técnico conjunto entre ISO y IEC) 1 de la ISO y es actualmente responsable tal comité de toda la información con respecto a estándares de la tecnología, y el BS7799 se refiere específicamente al estándar de la gerencia de la seguridad de la información aprobado formalmente durante el año 2000. Este estándar define un sistema de prácticas de gerencia recomendadas de la seguridad de la información, aunque es probablemente mejor decir que el estándar es un sistema de recomendaciones, pues el IEC de la ISO recomienda que consideras cada sugerencia como intentas mejorar tu programa de la seguridad de la información, y no ver cada sugerencia como obligación inflexible de seguir.
Dependiendo de las necesidades de la seguridad de la información se puede aceptar o no los estándares BS7799. Si una recomendación particular ayuda a tratar cualquier materia de seguridad importante entonces es aceptarla.
Las normas ISO17799 y BS7799 incluyen un acercamiento a las ediciones comunes de las informaciones relacionadas con los archivos electrónicos, los ficheros de datos y los archivos del software, y los documentos de papel. La información se relacionó con las notas escritas mano, materiales impresos y las fotografías, las grabaciones, las grabaciones video y las grabaciones audio, comunicaciones generales incluyendo conversaciones, conversaciones de teléfono, conversaciones de teléfono de la célula y conversaciones cara a cara, así como mensajes tales como mensajes del email, envían por telefax los mensajes, mensajes inmediatos, mensajes video, mensajes físicos, entre muchos otros artículos se consideran como definición del término “información”.
Puesto que la información tiene valor y es por lo tanto un activo, necesita ser justamente protegido como cualquier otro activo corporativo. La información se debe proteger apenas como la infraestructura que apoya esta información, incluyendo todas las redes, sistemas, y funciones que permitan que una organización maneje y controle sus activos de la información. BS7799 explica lo quen se puede hacer para proteger los activos de la información de su organización.