BS7799-2：2002信息安全管（guǎn）理体系规范向组织提出了一系列认证的要求，在总（zǒng）则（zé）中（zhōng）提出（chū）组（zǔ）织应（yīng）建立并保持一（yī）个（gè）文件化的信息安全管理体系，阐述被（bèi）保护的（de）资产、组织（zhī）风险（xiǎn）管理的渠道、控制目（mù）标及控制方式和需要的（de）保（bǎo）证等级；通过建立（lì）管理架构（gòu）并加（jiā）以实施来达到识别控制目标和控制（zhì）方式，并形成文件（jiàn）和记录。

BS7799-2：2002的控制细则（zé）包（bāo）括10个方面（miàn）： 　

· 安全方针：为信息安全提供管理（lǐ）指导和支（zhī）持； 

· 组织安全：建（jiàn）立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信（xìn）息安全； 

· 资产的归类与控（kòng）制：明确（què）资产（chǎn）责任，保持对组织资产的适当保（bǎo）护；将信息进（jìn）行归类，确保（bǎo）信息资产受到适当程度（dù）的保护； 

· 人员安全：在工作说（shuō）明和资源方面，减少因人为（wéi）错误、盗窃、欺（qī）诈和（hé）设施误（wù）用造成的风险；加强用户培（péi）训，确保用户（hù）清楚知道信息（xī）安全的（de）危险（xiǎn）性和相关事项，以便在他们的日常工作中支持组织的（de）安全方针；制定安全事故或故（gù）障的反（fǎn）应程序，减少（shǎo）由（yóu）安全事故和故障（zhàng）造成的损失（shī），监控安全事件并从这种事件中（zhōng）吸（xī）取教训； 

· 实（shí）物与环境安全：确定安全区域，防止（zhǐ）非授权（quán）访问、破坏、干扰商务场所和信息；通（tōng）过保（bǎo）障（zhàng）设备安（ān）全，防止资产的丢失（shī）、破坏、资产危害（hài）及商务活（huó）动的中断；采（cǎi）用通用的控制（zhì）方（fāng）式，防止信（xìn）息或信息处理设施损坏或失（shī）窃（qiè）； 

· 通信和操作（zuò）方式管理：明确操作程序（xù）及其责任，确保信息处理设施的正确（què）、安全操作；加强系统策划与验收，减少系统失效风险；防（fáng）范（fàn）恶（è）意软件以保持软（ruǎn）件和信息的完整性；加强内务管理以保持信息处理和通（tōng）讯（xùn）服（fú）务的完整性和（hé）有效性通过 ; 加强网络管理（lǐ）确保网络中的信息安全及其辅助设施受（shòu）到保（bǎo）护；通过（guò）保护媒体（tǐ）处（chù）理（lǐ）的安全 , 防止资产损坏和商务活动的中断（duàn）；加强信息和（hé）软件的交换的管理，防止（zhǐ）组织间在交换信息时发（fā）生丢失、更（gèng）改和误用； 

· 访（fǎng）问控（kòng）制：按照（zhào）访问控制（zhì）的商务要求，控（kòng）制信息访问；加强用户访问管理，防止非授权访（fǎng）问信（xìn）息系统（tǒng）；明确用户职责（zé），防止（zhǐ）非授权的用户访（fǎng）问；加强网络访问控制，保护网络服务程序（xù）；加强操作系（xì）统访问（wèn）控制（zhì） , 防止非授权的计算机访问；加强（qiáng）应用访问控制，防止非授权访问系（xì）统中（zhōng）的信息（xī）；通过（guò）监控系统的访（fǎng）问（wèn）与使用，监测非授权行为；在（zài）移动（dòng）式（shì）计算和（hé）电传工作方面 , 确（què）保使用移动式计算和电（diàn）传工作设施的信息安全； 

· 系统开发与维护：明确系统安全要（yào）求，确（què）保（bǎo）安全性（xìng）已构成（chéng）信息系统的（de）一部份；加强（qiáng）应用系统的安全，防止应（yīng）用系统用户数据（jù）的丢（diū）失、被修改或误用；加强密码技术控制，保护信息的（de）保密性、可靠性或（huò）完整（zhěng）性；加强系统文（wén）件的安全，确保 IT 方案及其支持（chí）活动以安全的（de）方式进行；加强（qiáng）开发和支持（chí）过（guò）程的安全（quán），确保（bǎo）应用系统软件和信息的安全； 

· 商务连续性管（guǎn）理：防止商务活动的中断及保护关键（jiàn）商务过（guò）程不（bú）受重大失误或灾（zāi）难事（shì）故的（de）影响； 

· 符合（hé）：符合法律法（fǎ）规要求，避免刑（xíng）法、民法、有（yǒu）关（guān）法令法（fǎ）规或合同约定事（shì）宜及其他安全要（yào）求的规定（dìng）相抵（dǐ）触（chù）；加强安全方针和技术符合性评（píng）审，确（què）保（bǎo）体系按照（zhào）组（zǔ）织的安全方针及标准执行；系统审核考虑因素，使效果较大化 , 并使系统审核过程的影响较小（xiǎo）化（huà）。 　 

在（zài）国际标准（zhǔn） ISO/IEC17799 给出了为实现（xiàn）信息安全（quán）认证所需的（de）各（gè）项措（cuò）施的详细指导，具有很（hěn）强的可操（cāo）作性（xìng）和指导性。

归根结底，信息安（ān）全工作（zuò）的目（mù）的（de）就是在法律（lǜ）、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理（lǐ）措（cuò）施，提供安全（quán）需求（qiú）的保证，而（ér） BS7799 信息安全认证标准正是总和（hé）了（le）这些要（yào）求（qiú）。组（zǔ）织可以根（gēn）据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信息安全（quán）管理（lǐ）体（tǐ）系要求》是关于信息安全（quán）管理的标准，是标准（zhǔn）不（bú）是方法，达到这些标准的（de）要求并不难，重要（yào）的是用什么方法去实现。企业应将实施标准（zhǔn）作为改（gǎi）善内部管理的一次机会，不应（yīng）该（gāi）将标准做为一种简单的模式对现有流程运作（zuò）进行（háng）套用，应对现有的组织运作流程进（jìn）行（háng）详细分析，有针（zhēn）对性地设计并改善现有管理体系、改善薄弱环节、改（gǎi）善运作流程（chéng）及（jí）内部沟通（tōng），并有效地将好的管理思想（xiǎng）融（róng）合到具体的实施程序中，才能发挥（huī）标准的真正作用。

获得认（rèn）证证书不是zui终目的（de），建立有责、有序、有效的信息安（ān）全管理体系，提高员工的信（xìn）息安全（quán）意识，不断获（huò）取并（bìng）运用（yòng）好的管理方法和（hé）技术（shù）手（shǒu）段才（cái）能使企（qǐ）业（yè）的（de）信息（xī）安（ān）全管理水平得以持（chí）续（xù）的发展和提升。