BS7799-2：2002信息安全管理（lǐ）体系规范向组织（zhī）提出了一系列认证的要求（qiú），在总则中提出组（zǔ）织应建立（lì）并保持一个文件化的信息安全管理体系，阐述被保护的资产（chǎn）、组织风险管理的（de）渠道、控制目标（biāo）及控制方式和需要的保证等级；通过（guò）建立管（guǎn）理架构并加以实（shí）施来达到（dào）识（shí）别控制（zhì）目标和（hé）控（kòng）制（zhì）方式（shì），并形成文件和记（jì）录（lù）。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面： 　

· 安全（quán）方针（zhēn）：为信息安全提供管理指导（dǎo）和支持（chí）； 

· 组（zǔ）织安全：建立信息安全架构（gòu），保证组织的内部管理；被第三方访问或（huò）外协（xié）时，保障组织（zhī）的信息（xī）安全； 

· 资产的归类与控（kòng）制（zhì）：明确（què）资产责（zé）任，保（bǎo）持对组织（zhī）资（zī）产的适当保护（hù）；将信息进行归类，确（què）保信息资产受到适当程度的保护（hù）； 

· 人员（yuán）安全：在工作说明和资源方面，减少因人为错误、盗窃、欺（qī）诈和设（shè）施误用造（zào）成的风险（xiǎn）；加（jiā）强用户培训，确（què）保（bǎo）用户清楚知（zhī）道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全（quán）方针；制定安全事故或故障的反应程序，减少由（yóu）安全事故（gù）和（hé）故障造（zào）成的损（sǔn）失，监控安全事件并从这种事件中吸取教训； 

· 实物与环（huán）境安全（quán）：确定安全区（qū）域（yù），防（fáng）止非授（shòu）权访问、破坏、干（gàn）扰商务场所和信息（xī）；通（tōng）过保障设备安（ān）全（quán），防止（zhǐ）资产的（de）丢失、破坏、资产危（wēi）害（hài）及（jí）商务活动的（de）中断；采用通用（yòng）的控（kòng）制方式，防止信息或（huò）信息处理设施损坏或（huò）失窃； 

· 通信（xìn）和操作方（fāng）式管（guǎn）理：明确（què）操作程序及其责任，确保信息处理设施的（de）正确、安全操（cāo）作；加强系（xì）统策划与验收，减少系统失效风险；防（fáng）范恶（è）意软件以保持软件和信（xìn）息的完整性；加强（qiáng）内（nèi）务管理以保持信息处理和通讯服务的完整性和（hé）有效性通过 ; 加强网络管理确保网络中的信息安全及其辅助设（shè）施受到保护（hù）；通过保护媒体处理的安全（quán） , 防（fáng）止资（zī）产损（sǔn）坏和商务活动的中（zhōng）断；加强信息和（hé）软件的交换（huàn）的管理，防（fáng）止（zhǐ）组织间在交换信息时发生丢（diū）失、更改和误用； 

· 访问控制：按照（zhào）访问控制的商务要求，控（kòng）制信息访问（wèn）；加强（qiáng）用户访问（wèn）管理（lǐ），防止非授权访问信息系（xì）统；明确用户（hù）职责，防止非授权（quán）的（de）用（yòng）户访问；加强网络（luò）访问控（kòng）制，保护网络服务程序；加强操作系统访（fǎng）问控（kòng）制 , 防止（zhǐ）非授权（quán）的计算机访问（wèn）；加强（qiáng）应用（yòng）访问（wèn）控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监（jiān）测非授权行为（wéi）；在移动（dòng）式计算和电传工作（zuò）方面 , 确保使（shǐ）用（yòng）移动式计算和电传工作设施的信息安全； 

· 系统开（kāi）发与（yǔ）维护：明确系统（tǒng）安全要求，确保安全性已构（gòu）成信息系统的一（yī）部份（fèn）；加（jiā）强应用系统（tǒng）的安全，防止应用系统用户数据的丢（diū）失、被修改或误用（yòng）；加强密（mì）码技（jì）术控制，保护（hù）信息（xī）的保密性、可靠性或（huò）完（wán）整性；加强系统文件的安全，确保 IT 方案及其支持活动以安全（quán）的方（fāng）式进（jìn）行；加强开发和（hé）支持过程的安（ān）全，确保（bǎo）应（yīng）用系统软件和信息的安全； 

· 商（shāng）务连续性管理：防（fáng）止商务活动（dòng）的中断及（jí）保护关键商务过程不（bú）受重（chóng）大失误或灾难事故的影响； 

· 符合：符合法（fǎ）律法规要求，避（bì）免刑法、民法、有关法令（lìng）法规（guī）或（huò）合（hé）同约（yuē）定事宜及其（qí）他安（ān）全（quán）要（yào）求的规定（dìng）相抵触；加强安全方（fāng）针和技术符合性评审，确保体系按照组织的安全（quán）方针（zhēn）及标准执行；系统审核考虑因素，使效果较大化 , 并使系统审核过程（chéng）的（de）影响较小化。 　 

在国际（jì）标准 ISO/IEC17799 给出了（le）为实现信（xìn）息安全认证（zhèng）所需的（de）各项措施（shī）的详细指导，具有很强的可操作性和指导性。

归根（gēn）结底，信息安全工作的目的（de）就是在法律、法规、政（zhèng）策的支持与指导下，通（tōng）过采用合（hé）适的安全技术（shù）与安全管理措施，提供安全需求的保证，而 BS7799 信（xìn）息安全认证标准（zhǔn）正是总和了这些要（yào）求。组织可以根（gēn）据自身特点，在 ISO/IEC 17799 指（zhǐ）导下（xià），实（shí）现信息（xī）安全的要求。

 ISO27001：2005 《信息安全管理体系（xì）要求（qiú）》

 ISO27001 ： 2005 《信息安（ān）全管理体系要求》是关（guān）于信息（xī）安（ān）全管理的标准，是标准不是方法，达（dá）到这些标准（zhǔn）的（de）要求并不难（nán），重（chóng）要的是用什么方法去实现。企业应将实（shí）施标准作（zuò）为改善内部管理的一次机（jī）会，不应该将标准做（zuò）为一种简单的模式（shì）对现有流程运作进行套用，应对现有的组织运作流程进行详细分析，有针对性地设（shè）计并改善现有（yǒu）管理体系、改善薄（báo）弱环节、改善运作流（liú）程及内部沟通，并有效地将好（hǎo）的（de）管理思（sī）想融（róng）合到具体的实施程序中，才（cái）能（néng）发（fā）挥标准的（de）真正作用。

获得（dé）认证证书不是zui终目（mù）的，建立有责、有序、有效的信息安（ān）全（quán）管理（lǐ）体系，提高员工的信息安全意识，不断获取并运用好的管理方法和技术手（shǒu）段（duàn）才能使（shǐ）企业（yè）的信（xìn）息安全管理水平得以持续（xù）的发（fā）展和提升。