BS7799-2：2002信息安全管理体系规范向组织提（tí）出了一系列认（rèn）证的（de）要求，在总则中（zhōng）提出（chū）组织应建立（lì）并保持一个文件化的信（xìn）息安全管理体系，阐述被保护的资（zī）产、组织风险管理的渠道、控制目标及控制方式和需要（yào）的保证等级；通过建立管理（lǐ）架构并加以（yǐ）实施（shī）来达（dá）到识别控制（zhì）目标和控（kòng）制方式，并（bìng）形成文（wén）件和记录（lù）。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全（quán）方针（zhēn）：为信息安全提供管理（lǐ）指导和（hé）支持（chí）； 

· 组（zǔ）织（zhī）安全（quán）：建立信（xìn）息安全架构，保证组织的（de）内部管（guǎn）理；被第三方访（fǎng）问（wèn）或外协时，保障（zhàng）组织的信息安（ān）全； 

· 资产的归类与（yǔ）控（kòng）制：明确资产责任，保持对组（zǔ）织资产的适当保护；将信息（xī）进行归类，确保（bǎo）信（xìn）息资产受到适当程度的保护； 

· 人员（yuán）安（ān）全（quán）：在工作说明（míng）和资源方（fāng）面（miàn），减少（shǎo）因人为（wéi）错误、盗窃、欺诈和设施（shī）误用造成（chéng）的风险；加强用户（hù）培训，确保用（yòng）户清（qīng）楚（chǔ）知道信息（xī）安全的危险（xiǎn）性和（hé）相关（guān）事项，以便在他们（men）的日（rì）常工作（zuò）中支持（chí）组织（zhī）的安（ān）全方（fāng）针；制定安全事故（gù）或故障的反应程序，减少由安全事故和（hé）故障（zhàng）造成（chéng）的（de）损失，监控安全（quán）事件并从这种事件中吸取教训； 

· 实物与环境（jìng）安（ān）全：确定安全区域，防止（zhǐ）非授权访问、破坏、干扰商务场所和信息；通过保障设备安（ān）全，防止资产的（de）丢失、破（pò）坏、资产危害及（jí）商务活（huó）动（dòng）的中断；采用通用（yòng）的控制方式（shì），防止信（xìn）息或信息处理（lǐ）设（shè）施损坏或失（shī）窃； 

· 通信和操作方（fāng）式管（guǎn）理：明确操作程序及其责任，确（què）保信息（xī）处理设施的正确、安全操作；加强系统策划（huá）与验收（shōu），减少系（xì）统失效风险；防（fáng）范恶意软件（jiàn）以（yǐ）保持软件和信（xìn）息的完整性；加强内（nèi）务管理以保持信息处理和通（tōng）讯服务的完整性和有效性通过（guò） ; 加（jiā）强（qiáng）网（wǎng）络管理确（què）保网络中的信息安全及（jí）其辅助设施（shī）受到保护（hù）；通过保护媒体处理（lǐ）的安（ān）全 , 防止资产损坏和商（shāng）务活动的中（zhōng）断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更（gèng）改和误（wù）用（yòng）； 

· 访问控制：按（àn）照访问控（kòng）制的商务要求，控制信息访问；加（jiā）强用户访问管理，防止非（fēi）授权访问信息系统；明确用户职（zhí）责，防止非授权的用户访（fǎng）问；加强网络访问控制，保护网络服（fú）务程序（xù）；加强操作（zuò）系统（tǒng）访问控制 , 防（fáng）止非（fēi）授（shòu）权的计算机访问；加强应用访问控（kòng）制，防止非授权访问系统中的信息；通过监控系统的（de）访（fǎng）问与使用（yòng），监测非授（shòu）权行（háng）为；在移动式计算和电传工作（zuò）方面 , 确保使用移动式计算和（hé）电传工作设施（shī）的信息（xī）安全； 

· 系统开发与维（wéi）护：明确系统安全要求（qiú），确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用（yòng）系统用（yòng）户数据的丢失、被修改或误用（yòng）；加强密码技（jì）术控制，保（bǎo）护信（xìn）息的保密性、可靠（kào）性或完整性；加（jiā）强系统文件的安（ān）全，确保（bǎo） IT 方案及其支持活（huó）动（dòng）以安全的方式进行；加强开（kāi）发和支持过（guò）程的安全，确保应用系统软件和信息的（de）安全（quán）； 

· 商务连续（xù）性管理：防（fáng）止（zhǐ）商务活动的中断及保护关键商务过程（chéng）不受重大失误或（huò）灾（zāi）难（nán）事故的影响； 

· 符合：符合法律（lǜ）法规要求，避免刑法、民法、有关法令法规或合同约定事宜及（jí）其他安全要求的规（guī）定相（xiàng）抵触（chù）；加强安全方针和技术符合性评审，确保体系按照组（zǔ）织的安全（quán）方针及（jí）标准执（zhí）行；系统（tǒng）审核考虑因素，使效果较大化 , 并使系统审（shěn）核过程的影响（xiǎng）较（jiào）小化。 　 

在国（guó）际标（biāo）准 ISO/IEC17799 给出了为（wéi）实现信息（xī）安全认证所需的（de）各项措施的详细指导，具有（yǒu）很强的可操作性和指导性。

归根结底（dǐ），信息（xī）安（ān）全（quán）工作（zuò）的目的就是（shì）在（zài）法律、法规、政策的（de）支持与指（zhǐ）导下，通过采用合适的（de）安全技术与安（ān）全管理措施，提供安（ān）全需求的保证，而 BS7799 信息安全认证（zhèng）标（biāo）准正是（shì）总和了这些要求。组织（zhī）可以根据自身特点，在 ISO/IEC 17799 指导下，实（shí）现信息安全的（de）要（yào）求。

 ISO27001：2005 《信息安全管（guǎn）理体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体系要求》是（shì）关于信息安全管理的标准，是标（biāo）准不是方法（fǎ），达到这些（xiē）标准的要求并不难，重要的是用什么方法去实现。企（qǐ）业应将实施标准作为改善内部管理（lǐ）的一（yī）次（cì）机会，不应该将标准做为一（yī）种简单（dān）的模式对（duì）现有流程运作进行套（tào）用，应对现有的组织运（yùn）作（zuò）流程进行详细分析，有（yǒu）针对性（xìng）地（dì）设计并改善现有管（guǎn）理体系（xì）、改善薄弱环节、改善运作（zuò）流程及内（nèi）部沟通，并有（yǒu）效地将好（hǎo）的管理（lǐ）思想融（róng）合到具体的实施程序中，才能发挥（huī）标准的真正作用。

获得认（rèn）证证（zhèng）书不是zui终（zhōng）目的，建立（lì）有责（zé）、有（yǒu）序、有效的信（xìn）息安全（quán）管理（lǐ）体系（xì），提高（gāo）员工的信息（xī）安全意识，不断获取（qǔ）并运用（yòng）好的管理方法和技（jì）术（shù）手段才（cái）能使（shǐ）企业的信息安全管理水平得以（yǐ）持续的发展（zhǎn）和提升。