新版本BS 77992:2002 于2002 年9 月5 日在英国发布。新版本同ISO9001:2000 和ISO14001:1996（等国际知名管理体系标准采用相同的风格，使之更容易和其它的管理体系相协调。新版标准的主要更新在于：

(1)PDCA(Plan Do Check Act)的模型

(2)基于PDCA 模型的基于过程的方法

(3)对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述

(4)对ISMS 持续过程改进的重要性

(5)文档和记录方面更清楚的需求

(6)风险评估和管理过程的改进

(7)对新版本使用提供指南的附录

BS 77992:2002 在介绍信息安全管理体系的建立、实施和改进的过程中引用了PDCA 模型（图11.6），按照PDCA 模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估4 个子过程，特别介绍了基于PDCA 模型的过程管理方法，并在附录中为解释或采用新版标准提供了指南。可以通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。

PDCA 模型的主要过程如下：

(1)计划（PLAN）:定义信息安全管理体系的范围，鉴别和评估业务风险

(2)实施(DO)：实施同意的风险治理活动以及适当的控制

(3)检查(CHECK)：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计

(4)改进(ACTION)：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。

BS 77992:2002 没有引入任何新的审核和认证要求，完全兼容依据BS 7799-2:1999 建立、实施和保持的信息安全管理系统。也没有增加任何控制目标和控制方式，所有的控制目标和控制方式都是来自ISO/IEC17799:2000。BS 77992:2002 将原来BS 7799-2:1999 的第4部分作为附件A 放在了标准后面，并采用了不同的编号方式，将BS 77992:1999 和ISO/IEC17799:2000 结合起来了。

BS 7799 是对一个组织进行全面信息安全评估的基础，可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档，以及如何根据组织的需要进行安全控制，可以作为一个非正式认证方案的基础。

然而，BS 7799 仅仅提供一些原则性的建议，如何将这些原则性的建议与各个组织单位自身的实际情况相结合，构架起符合组织自身状况的信息安全管理系统，才是真正具有挑战性的工作。BS 7799 在标准里描述的所有控制方式并非都适合于每种情况，它不可能将当地系统、环境和技术限制考虑在内，也不可能适合一个组织中的每个潜在的用户，因此，这个标准还需结合实际情况进一步加以补充。