BS7799分两个部分

第一部分，也就是纳入到ISO/IEC17799:2000标准的部分，是信息安全管理实施细则

(CodeofPracticeforInformationSecurityManagement)，主要供负责信息安全系统开发的人员作为参考使用，其中分十个标题，定义了127个安全控制。

BS7799-1:1999（ISO/IEC17799:2000）中的十个内容标题分别是

?安全策略Securitypolicy

?资产和资源的组织Organizationofassetsandresources

?人员安全Personnelsecurity

?物理和环境安全Physicalandenvironmentalsecurity

?通信和操作管理Communicationandoperationmanagement

?访问控制Accesscontrol

?系统开发和维护Systemdevelopmentandmaintenance

?业务连续性管理Businesscontinuitymanagement

?符合性Compliance

第二部分，是建立信息安全管理体系(ISMS)的一套规范(SpecificationforInformationSecurityManagementSystems)，其中详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证(对依据BS7799-2建立的ISMS进行认证)，还有一系列相应的注册认证过程。目前，BS7799-2的2002年版本已经递交ISO组织，可望成为国际标准。

BS7799标准要求基于PDCA管理模型来建立和维护信息安全管理体系(ISMS)。为了实现ISMS，组织应该在计划(Plan)阶段通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施(Do)阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查(Check)阶段予以监视和审查；一旦发现问题，需要在措施(Act)阶段予以解决，以便改进ISMS。通过这样的过程周期，组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。