Die ISO 17799 wird definiert als eine umfassende Auswahl an Kontrollmechanismen, die auf Methoden und Verfahren basieren, die sich sich in der Praxis bereits vielfach bewährt haben
Der aktuelle ISO 17799-Standard ist eine Sammlung von Empfehlungen für Informations­sicherheits­verfahren und -methoden, die sich in der Praxis bewährt haben (Best Practices).

Diese können von Unternehmen oder Organisationen beliebiger Größe in allen Industrie- und Geschäftsbereichen eingesetzt werden. Der Standard ist bewusst flexibel ausgelegt und empfiehlt keine konkreten Sicherheits­lösungen oder rät von bestimmten Alternativ­lösungen ab. Die Empfehlungen im Rahmen der ISO 17799 sind unvoreingenommen im Hinblick auf Technologien oder bestimmte Produkte und bieten keinerlei Hilfe bei der Bewertung oder Überprüfung bestehender Sicherheitsmaßnahmen. Dies veranlasste Kritiker dazu, den ISO 17799-Standard als zu vage und wenig aussagekräftig zu bewerten.Die Flexibilität und offene Auslegung der ISO 17799 ist jedoch durchaus beabsichtigt, da es kaum möglich ist, einen Standard zu definieren, der auf die meisten IT-Umgebungen anwendbar ist und mit dem technologischen Fortschritt Schritt halten kann. Er bietet ein Rahmenwerk für einen Bereich, in dem es vorher keinerlei Richtlinien gab. In der Praxis werden für detailiertere Richtlinien weitere Standards hinzugezogen, wie zum Beispiel die IT-Grundschutz­richtlinien des Bundesamtes für Sicherheit in der Informationstechnik oder die ISO 13335 für die Risikoanalyse.


Seit mehr als 100 Jahren legen das British Standards Institute (BSI) und die International Organization for Standardization (ISO) globale Richtlinien für Standards in den Bereichen Betrieb, Produktion und Leistung fest. Ein Bereich, für den das BSI und die ISO bisher keine Standards definiert hatte, war die Informationssicherheit. Im Jahr 1995 veröffentlichte das BSI den ersten Sicherheitsstandard, BS 7799, der darauf ausgerichtet war, die Sicherheitsaspekte im Zusammenhang mit e-Commerce abzudecken. Zu jener Zeit waren die Unternehmen allerdings mit Problemen wie Y2K und EMU beschäftigt. Zu allem Überfluss wurde der BS 7799 als zu inflexibel beurteilt und nur vereinzelt anerkannt. Der Zeitpunkt war offensichtlich nicht der richtige und Sicherheitsaspekte standen nicht im Fokus des Interesses. Vier Jahre änderte sich jedoch die Situation. Im 1999-05 legte das BSI mit der zweiten, grundlegend überarbeiteten Version des
BS 7799 DATALOG Security Management DIN ISO 17799 - der globale Sicherheitsstandard
einen erneuten Vorschlag vor. Diese Ausgabe enthielt viele Verbesserungen und Änderungen gegenüber der Version von 1995. Die ISO fand Interesse daran und begann mit der Übernahme der BS 7799. Im 2000-12 nahm die ISO den ersten Teil von BS 7799 an und veröffentlichte diesen unter der Bezeichnung ISO 17799. Etwa zeitgleich wurde ein formelles Anerkennungs- und Zertifizierungs­verfahren für die Einhaltung des Standards eingeführt. Für Y2K, EMU und ähnliche Probleme hatten sich bis zum Jahr 2000 Lösungen und entschärfende Maßnahmen gefunden und die allgemeine Qualität des Standards hatte sich erheblich verbessert. Die Annahme des ersten Teils von BS 7799 (der jene Kriterien umfasst, die die Basis des Standards bilden) durch die ISO sorgte dafür, dass man sich endlich auf Sicherheits­standards einigte, die weltweit akzeptiert wurden.