BS7799-2：2002信息安全管（guǎn）理体系规范（fàn）向（xiàng）组织提出（chū）了一系列（liè）认证的要（yào）求（qiú），在（zài）总则中提出组织应建立并保持一个（gè）文件化的信息安（ān）全管理体（tǐ）系，阐述（shù）被（bèi）保护的资产、组织风险（xiǎn）管（guǎn）理的渠道、控制目标及控制方式和需要的保证等（děng）级；通过建立管理架构（gòu）并加以实（shí）施来（lái）达（dá）到识别（bié）控制目标和控制（zhì）方（fāng）式（shì），并形（xíng）成文件和记录。

BS7799-2：2002的控制细则包括10个（gè）方（fāng）面： 　

· 安全方针：为信（xìn）息安全（quán）提（tí）供管理指导和支持（chí）； 

· 组织安全：建立信息（xī）安全架构，保证组（zǔ）织的内部管理；被第三方（fāng）访（fǎng）问或外协（xié）时，保障组（zǔ）织的信（xìn）息（xī）安全（quán）； 

· 资产（chǎn）的归类与控（kòng）制：明确（què）资产责任（rèn），保持对组织资产的适当保护；将信息进行（háng）归类，确保信息资产受到适当程度的保护； 

· 人员安全（quán）：在工作说明（míng）和资源（yuán）方面，减少因人为错误、盗窃、欺诈（zhà）和设施误用造成的风险（xiǎn）；加强用户（hù）培训，确保用户清楚（chǔ）知（zhī）道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的（de）安全方针（zhēn）；制定安（ān）全事故或故障的反应程序，减少由安全事故和故（gù）障造成的损失，监控安全事件并从这种事件（jiàn）中吸（xī）取教训（xùn）； 

· 实物与（yǔ）环（huán）境安全：确（què）定（dìng）安（ān）全区域（yù），防止非授权（quán）访问、破坏、干扰商务场所（suǒ）和信息；通过保障设备安全，防止资产（chǎn）的丢（diū）失、破坏、资产（chǎn）危害及商务活动的（de）中断（duàn）；采用通用的控制方（fāng）式，防止信息或信（xìn）息处理设施损坏或（huò）失窃（qiè）； 

· 通（tōng）信和操作方式管理：明确操作程（chéng）序及其（qí）责（zé）任，确保（bǎo）信（xìn）息处理设施（shī）的正确、安全（quán）操作（zuò）；加强系（xì）统策划与验收，减少系（xì）统失效风险；防范恶（è）意软件（jiàn）以保（bǎo）持软件和信息的完整性；加（jiā）强内务管理以保持信息（xī）处理和通讯服务（wù）的完整性和有（yǒu）效（xiào）性通（tōng）过 ; 加（jiā）强网（wǎng）络管（guǎn）理确保网络中的信息安全及其辅（fǔ）助设施受到保护；通过保护（hù）媒体（tǐ）处理的安全 , 防止资产损坏和（hé）商务（wù）活动的中（zhōng）断；加强信息和软件的交换的管理，防止（zhǐ）组织（zhī）间在交换信息时发生丢失、更改和误用； 

· 访问控制：按照访问控制的商务要求（qiú），控制信息访问；加强用户访问管理，防止非授权（quán）访问信息系统；明确用户（hù）职责，防止非授权的用户访问；加强网络访问控制，保护网络（luò）服务（wù）程（chéng）序（xù）；加强操（cāo）作（zuò）系统访问控制 , 防止非授权的（de）计算机访（fǎng）问；加强应（yīng）用（yòng）访问控制，防（fáng）止非授权访（fǎng）问系统中（zhōng）的信息（xī）；通过监控系统的访问与使（shǐ）用，监测非授权行为；在（zài）移动（dòng）式计算和电传工（gōng）作方面 , 确保使用移动（dòng）式计算和电传工（gōng）作设施的（de）信（xìn）息安全； 

· 系统（tǒng）开发（fā）与维护：明确（què）系统安（ān）全要求，确保安全性已构成信息系统的一部份（fèn）；加强应用系（xì）统的安全，防止应（yīng）用系统用户数据的丢失、被修改或（huò）误用；加强（qiáng）密码技术控制，保（bǎo）护信息的保（bǎo）密（mì）性、可靠性或完整性（xìng）；加强系统文件（jiàn）的安全，确保 IT 方案（àn）及其支持活动（dòng）以（yǐ）安（ān）全的方（fāng）式进（jìn）行（háng）；加强开发和支持过（guò）程的安全（quán），确保应用系统（tǒng）软件和信息的安全； 

· 商务连续（xù）性管理：防止商务活（huó）动的中断及（jí）保护关（guān）键商务过程不（bú）受重大失误或灾难事故（gù）的影（yǐng）响； 

· 符合：符合法（fǎ）律（lǜ）法规要求，避免刑（xíng）法、民法、有关法令法（fǎ）规或（huò）合同约定事宜（yí）及其他安全要求（qiú）的规定相抵触（chù）；加强安全（quán）方针和（hé）技术（shù）符合性评审，确（què）保体系（xì）按照（zhào）组织的安全方针及标准执行；系统审核（hé）考虑因素（sù），使效（xiào）果较大（dà）化 , 并使系统（tǒng）审核过程的影响较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为实现信息安（ān）全认（rèn）证所（suǒ）需的（de）各（gè）项措施（shī）的详细指导，具有很强的可操（cāo）作性和指导性。

归根（gēn）结底，信息安全工作的目的就是在法律、法规、政策的支（zhī）持（chí）与（yǔ）指导下，通过采用（yòng）合适的安全（quán）技术与安全管理措施，提供安全需求（qiú）的保证，而 BS7799 信息安全认证（zhèng）标准正（zhèng）是（shì）总和了这（zhè）些（xiē）要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实（shí）现（xiàn）信息安全的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管（guǎn）理体（tǐ）系要求（qiú）》是关于信息安全管理的标准，是标准不是方法，达（dá）到这（zhè）些标准（zhǔn）的要求并不难，重要的（de）是用（yòng）什（shí）么方（fāng）法去实现。企业应将实施标准（zhǔn）作为改善（shàn）内部管理（lǐ）的一（yī）次机会，不应该将（jiāng）标准做为一种简单的模式对现有（yǒu）流程（chéng）运作进行套用（yòng），应对（duì）现有的组织（zhī）运（yùn）作流程进行详细（xì）分析（xī），有（yǒu）针（zhēn）对性地设计并改善（shàn）现有管理体系、改善薄弱环节、改善运作（zuò）流（liú）程及内部沟通，并有效地将（jiāng）好的管理思想（xiǎng）融合（hé）到具体的（de）实（shí）施程序中（zhōng），才（cái）能发（fā）挥标（biāo）准（zhǔn）的真正作用（yòng）。

获得认（rèn）证证书不（bú）是zui终目的，建立有（yǒu）责、有（yǒu）序（xù）、有效的信（xìn）息（xī）安（ān）全管理体系，提高员工（gōng）的信息安全（quán）意识，不断获取（qǔ）并（bìng）运（yùn）用（yòng）好的（de）管理方法和技术手（shǒu）段才（cái）能使企业的信（xìn）息安全（quán）管理水平（píng）得以持续的发展（zhǎn）和提升。