BS7799-2：2002信息安全管理体系规范向组织（zhī）提出了一系列认证的要求，在总（zǒng）则中（zhōng）提出组织应建立并保持一个文件（jiàn）化（huà）的信息安全管（guǎn）理体系，阐述被保护的资（zī）产、组（zǔ）织（zhī）风险管理的渠（qú）道（dào）、控制目标及（jí）控制方式和需要（yào）的保证等级（jí）；通过建立（lì）管理（lǐ）架构并加以实施来达（dá）到识别控制目标和控制方式（shì），并形成文件和记录。

BS7799-2：2002的控（kòng）制细则包括（kuò）10个方面： 　

· 安全方（fāng）针：为信息安（ān）全提（tí）供管（guǎn）理指导和支持； 

· 组织安全：建立信息安全架构，保证组织的（de）内部（bù）管理；被第（dì）三方访问或外协时，保障（zhàng）组织的信息安全； 

· 资产的归类与控制：明（míng）确资产责任，保持对组（zǔ）织资产的适当（dāng）保护；将信（xìn）息进行归类（lèi），确保信息资产受（shòu）到适当程（chéng）度的保护； 

· 人员安全：在工作（zuò）说明和资源方面（miàn），减少因人为（wéi）错误、盗窃、欺诈（zhà）和设施误（wù）用（yòng）造成的风（fēng）险；加强用户（hù）培训，确保用户清（qīng）楚知道信息（xī）安全（quán）的危（wēi）险性和相关事（shì）项，以（yǐ）便在他们的（de）日常工（gōng）作中（zhōng）支持组织的安全方针；制定安全事故或故障的反应程序，减少由安（ān）全（quán）事故（gù）和故障造成（chéng）的损失，监控安全（quán）事件并从这（zhè）种事件中吸取教（jiāo）训； 

· 实物与环境安全：确定安（ān）全区域（yù），防止非授权访问、破（pò）坏、干（gàn）扰商务（wù）场（chǎng）所和（hé）信息；通过保障（zhàng）设备安全，防止资产的丢（diū）失、破坏（huài）、资产危害及商务（wù）活动的中断；采用通用的控制方（fāng）式，防止信息或信息处理设施损坏或失窃； 

· 通信和操作方式管理：明确（què）操作程序（xù）及其责任，确保信息（xī）处理设施的正确、安（ān）全（quán）操作（zuò）；加强系统策划与验收，减（jiǎn）少系统（tǒng）失效风险；防范恶（è）意软（ruǎn）件以保持软件和信（xìn）息的完（wán）整性；加强内（nèi）务管理以保（bǎo）持（chí）信息处理和通讯服务的完整性（xìng）和（hé）有效性通过 ; 加强网络（luò）管理（lǐ）确（què）保网络中（zhōng）的信息安全及其辅助（zhù）设施受到保护；通（tōng）过保护媒体（tǐ）处理的安全 , 防止（zhǐ）资产损（sǔn）坏和（hé）商务活动的（de）中（zhōng）断；加强信息（xī）和软件的交换的管理（lǐ），防止（zhǐ）组织间在交换（huàn）信（xìn）息时发生丢失、更（gèng）改和（hé）误用； 

· 访问控制：按照（zhào）访问控制的商务要求（qiú），控制信息访（fǎng）问（wèn）；加强用户访问管（guǎn）理，防止非授（shòu）权（quán）访问信息系统；明确用户职责，防（fáng）止非授权的用户访问；加强网（wǎng）络访（fǎng）问控制，保护网络服务程序；加强操作（zuò）系统访问控制 , 防止非授权的计（jì）算机访（fǎng）问；加强应用（yòng）访问（wèn）控制（zhì），防止非授权访（fǎng）问系统中的（de）信息；通（tōng）过监控系统的访问与使用，监测非授权行为；在移动式（shì）计（jì）算和电（diàn）传工（gōng）作方面 , 确保（bǎo）使用移（yí）动式计算和电传工作设施的信息（xī）安全； 

· 系统开发与维护：明确系（xì）统安全要求，确保安全性已构成信息系统的（de）一部份；加强应用系统的（de）安全，防止应用系统用户数据的丢失、被（bèi）修改或误用；加强密码技（jì）术控制，保护信息的保密性、可靠性或完整性；加强系统文（wén）件的安全，确保 IT 方（fāng）案及其支持活动（dòng）以安（ān）全（quán）的（de）方式（shì）进行；加强开发和支持过（guò）程的（de）安全，确（què）保（bǎo）应用系统软件和信息的（de）安（ān）全（quán）； 

· 商务连续性管理：防止商务活动的中断及保护关键商务过程不受重大（dà）失误或灾难事故的影响； 

· 符合：符合法律法规（guī）要求，避免刑法、民法、有（yǒu）关（guān）法（fǎ）令法（fǎ）规或（huò）合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符（fú）合性评审，确保（bǎo）体系按照组织的（de）安全方（fāng）针及（jí）标准执行；系统审核（hé）考虑因素，使效果较大（dà）化 , 并使系统审核过程的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现（xiàn）信（xìn）息安（ān）全认证所需的各项措施的详细（xì）指导，具有很（hěn）强（qiáng）的（de）可操（cāo）作性和（hé）指导（dǎo）性。

归（guī）根（gēn）结底，信息（xī）安全工作的目的就（jiù）是在法（fǎ）律、法规、政策的支持与指导下，通过（guò）采用合适（shì）的安全技术与安（ān）全管理措施（shī），提供（gòng）安（ān）全需（xū）求的保证，而 BS7799 信息安全认证标准（zhǔn）正是总和了（le）这些（xiē）要（yào）求。组织可以（yǐ）根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现信（xìn）息安全（quán）的要求。

 ISO27001：2005 《信（xìn）息安全管理体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理体（tǐ）系要求》是（shì）关（guān）于信息安全（quán）管理的标准（zhǔn），是标准不是（shì）方法，达（dá）到这（zhè）些标（biāo）准的要（yào）求并（bìng）不（bú）难，重要的是用（yòng）什么方（fāng）法去实现。企（qǐ）业应将实施标准作为改（gǎi）善内（nèi）部（bù）管（guǎn）理的一（yī）次机会，不应该将标准做为一种简单的模式（shì）对（duì）现（xiàn）有流程运作进行套用，应对现（xiàn）有的组织运（yùn）作流程进行详（xiáng）细分析，有针对性地设计（jì）并（bìng）改善现有管理体系、改善薄弱环节、改善运作流程及内部沟通，并有效地将好的管（guǎn）理思想融合到具体的实施程序中（zhōng），才能（néng）发（fā）挥标准的真正作用（yòng）。

获（huò）得认证（zhèng）证书不是zui终目的（de），建立有责（zé）、有序、有（yǒu）效的信息安全管理（lǐ）体系（xì），提高员工的信息安全意识，不（bú）断获取并运用好的管理方法和技术手段才（cái）能使（shǐ）企业的信息安全管理水平得以持续的发展（zhǎn）和提升（shēng）。