Günümüzde; şirket bilgilerinin korunması, bilgilerin doğru kullanılması ana amaçlardan biridir.

1995 yılında BSI ( British Standards Institution) , E-ticaret sektörü için BS7799 adı altında, İngiltere’de kurum ve şirketlerin yararlanması için bir güvenlik matriksi standart taslağını oluşturmuştur. BS7799 ‘un İlk Bölümünde ( BS 7799 Part I) ; Bilişim Güvenliğinin Yönetilmesi ve Kontrol edilmesi, İkinci Bölümünde ( BS 7799 Part II) sertifikasyon işlemleri tanımlanmıştır. Ağustos 2000 ‘de ; BSI Bölüm I tanımlarını Uluslar arası Standart Orginazsyonu ISO ‘ya uluslar arası bir güvenlik standartı olarak ele alınması ve gözden geçirilmesi için vermiş ve ISO bunu ISO17799 olarak az bir değişiklik ile standart olarak duyurmuştır. Aralarında ABD, Kanada, Almanya ve Fransa ‘nın da olduğu bazı ülkeler başlangıçta ISO 17799 ‘nun bir Güvenlik Standardı olarak benimsenmesine karşı koymuşlar ve bunun bir güvenlik önerileri olarak ele alınmasını ileri sürmelerine rağmen ihtiyaç nedeni ile bu ülkelerde dahi hemen uygulamaya konulmuştur.

ISO 17799 ve buna bağlı BS7799 hiçbir zaman ; ISO 15408 ( Common Criteria) veya CASPR ( Commnonly Accepted Security Practices) gibi teknik bir standart olarak amaçlanmamış , her sektördeki şirketin kolayca uygulayabileceği bilginin korunması için gerekli esnek ve genel prensipleri içermektedir

ISO 17799 ; Bilgi Güvenlik Yönetiminin verimli yapılması içindir. Teknik bir standart olmamasına rağmen, ISO17799 bir şirketin güvenlik gereksinimlerini tanımlar ancak gerçekleştirme şeklini şirketlere bırakır. Diğer bir deyimle; şirket içi ve dışı yanlış ve kötü amaçlı kullanımına karşı bilginin korunması için gerekli beklentileri ve işlemleri tanımlar.

ISO 17799 standardında aşağıda genel kapsamı verilen 10 alan kapsanmaktadır.

Şirketin, yönetimin destek ve katkıları ile güvenlik beklentilerini karşılaması için gerekli güvenlik işlemlerini şirket içinde uyarlaması kurallarıdır.

İçinde güvenliğin koordine edilmesi, güvenlik yönetim sorumlulukların atanması ve güvenlik tehlikesi olaylarında takip edilecek işlemleri de kapsamak üzere bir güvenlik yönetim alt yapısının oluşturulmasıdır.

Şirketin detaylı bilgi alt yapı envanterinin çıkarılıp değerlendirilmesi ve bilgi varlıklarının en uygun güvenlik sınıfına atanması işlemleridir.

İnsan Kaynakları ve İş Süreçleri açısından Güvenliğin önemli bir bileşen olarak ele alınmasıdır. Şirket çalışanlarının (Bilişim elemanları ve son kullanıcılar da dahil) görevlerine güvenlik beklentilerinin tanımlanması, işe alınmadan önceki personel araştırmaları, güvenlik kritik işlemlerde gizlilik anlaşmalarının devreye alınması , güvenlik olaylarının personel tarafından raporlanması gibi bir dizi konu içerir.

Bilişim Alt yapısı, bina ve çalışanların korunmasını sağlayan Güvenlik Politikasının tanımlanmasıdır. Kapsamında, binaya giriş, yedekli güç kaynağına sahip olma, periyodik bilgisayar bakımı ve bina dışında bilişim kaynaklarının barındırılması gibi konular vardır.

Güvenlik olaylarının önlenmesini sağlayan antivirüs koruma, günlük alma ve izlnemesi, güvenli uzaktan erişim, güvenlik olay takip sistemin devreye alınması gibi güvenlik önlemlerini içerir.