新版本BS 77992:2002 于2002 年9 月5 日在英国发布。新版本同ISO9001:2000 和ISO14001:1996（等国际知名管理体系标准采用相同的风格，使之更容易和其它的管理体系相协调。新版标准的主要更新在于：

    (1)PDCA(Plan Do Check Act)的模型

    (2)基于PDCA 模型的基于过程的方法

    (3)对风险评估过程、控制选择和适用性声明的内容与相互关系的阐述

    (4)对ISMS 持续过程改进的重要性

    (5)文档和记录方面更清楚的需求

    (6)风险评估和管理过程的改进

    (7)对新版本使用提供指南的附录

    BS 77992:2002 在介绍信息安全管理体系的建立、实施和改进的过程中引用了PDCA 模型（图11.6），按照PDCA 模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估4 个子过程，特别介绍了基于PDCA 模型的过程管理方法，并在附录中为解释或采用新版标准提供了指南。可以通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。

    PDCA 模型的主要过程如下：

    (1)计划（PLAN）:定义信息安全管理体系的范围，鉴别和评估业务风险

    (2)实施(DO)：实施同意的风险治理活动以及适当的控制

    (3)检查(CHECK)：监控控制的绩效，审查变化中环境的风险水平，执行内部信息安全管理体系审计

    (4)改进(ACTION)：在信息安全管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。

    BS 77992:2002 没有引入任何新的审核和认证要求，完全兼容依据BS 7799-2:1999 建立、实施和保持的信息安全管理系统。也没有增加任何控制目标和控制方式，所有的控制目标和控制方式都是来自ISO/IEC17799:2000。BS 77992:2002 将原来BS 7799-2:1999 的第4部分作为附件A 放在了标准后面，并采用了不同的编号方式，将BS 77992:1999 和ISO/IEC17799:2000 结合起来了。

    BS 7799 是对一个组织进行全面信息安全评估的基础，可以作为组织实施信息安全管理的一项体制。它规定了建立、实施信息安全管理体系的文档，以及如何根据组织的需要进行安全控制，可以作为一个非正式认证方案的基础。