BS7799-2：2002信息安全管理体系规范向组织提出了一系列认（rèn）证的要（yào）求，在总则中提出（chū）组织应建立并保持一个（gè）文（wén）件化的（de）信息安全管理体（tǐ）系（xì），阐（chǎn）述（shù）被（bèi）保护的资（zī）产、组（zǔ）织风险管理的渠道、控制目标及（jí）控制方式和需要的保证等级；通过建（jiàn）立管理架构并加以实施来达到识别控制目标和（hé）控制方式，并形成文件和（hé）记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为信息安全提供管理指导和（hé）支持（chí）； 

· 组织安全：建立信息安全（quán）架（jià）构，保证组织的内（nèi）部管理；被第三方访问或（huò）外协时，保（bǎo）障组织的信息安全； 

· 资产的归类与控制：明确资（zī）产责任，保持对组织资产的（de）适当保护；将信息进行（háng）归类，确保（bǎo）信息（xī）资（zī）产受到适当程（chéng）度的保护； 

· 人员安全：在工（gōng）作说明和资源方面，减少因人为错误、盗窃、欺（qī）诈和设施误用造成的风险；加强用户培训，确保用户清楚（chǔ）知道信息安全的危险性和相关事项（xiàng），以便在他们的（de）日（rì）常工作中支持（chí）组织的安全方针（zhēn）；制定（dìng）安全事故或（huò）故障的反（fǎn）应程序，减少由安全事故和故（gù）障（zhàng）造成的（de）损失，监控安全事件并（bìng）从这种事件中吸取教训； 

· 实物与环境安（ān）全：确（què）定安全（quán）区域，防（fáng）止（zhǐ）非授权访问、破坏、干扰商（shāng）务场所和信息；通过保障设备安全，防止资产的丢失（shī）、破坏、资产危害（hài）及商务活（huó）动的中断；采（cǎi）用通用的控制方式，防止信息或信息（xī）处理设施损坏或失窃（qiè）； 

· 通（tōng）信和操作方式管理：明确操作（zuò）程序及其责任，确保信（xìn）息（xī）处理设施的（de）正确、安（ān）全操作；加强系（xì）统（tǒng）策划与验收，减少系统失效风险；防范（fàn）恶意（yì）软件以保持软件和（hé）信（xìn）息（xī）的完整性；加（jiā）强内务管理以保（bǎo）持信息处理和通讯服（fú）务的完整性（xìng）和（hé）有效性通过 ; 加强网络管理确保网络中的信（xìn）息安全及其辅助设施受（shòu）到（dào）保（bǎo）护；通过保护媒体（tǐ）处理的安全 , 防止资产（chǎn）损坏和商（shāng）务活动的中（zhōng）断；加（jiā）强信息和软（ruǎn）件的交（jiāo）换的管理，防止组织间在交（jiāo）换信（xìn）息时发生丢失、更改和误用； 

· 访问控制：按（àn）照访问（wèn）控制的商务要求，控制信息访问；加（jiā）强用（yòng）户访问管理，防止非授权访（fǎng）问信息系（xì）统（tǒng）；明确用（yòng）户职责，防止非授权的用（yòng）户访问（wèn）；加（jiā）强网络访（fǎng）问控制，保护网络服务程序；加强操作系统访问控制 , 防止非授权的（de）计算机访问；加强应用访（fǎng）问控制，防止（zhǐ）非授权（quán）访问系统中的（de）信（xìn）息；通过（guò）监控系统（tǒng）的访问与使用，监测非授权（quán）行为；在（zài）移动式计算和电（diàn）传工作方面 , 确（què）保使（shǐ）用移（yí）动式计算（suàn）和电传工作设施的信息安全（quán）； 

· 系统开发与维护：明确系统安全要求，确（què）保安全性已构（gòu）成信息系统的一部份；加强应（yīng）用系统的安全，防止应（yīng）用（yòng）系统用户数据的丢失、被修改或（huò）误（wù）用；加（jiā）强密码技术控（kòng）制，保（bǎo）护信（xìn）息的保密性（xìng）、可靠性或完（wán）整性；加强系统文件的安全，确保（bǎo） IT 方案及（jí）其支持活动（dòng）以安全的方（fāng）式进（jìn）行；加强开发（fā）和（hé）支持过程的（de）安全（quán），确（què）保（bǎo）应用（yòng）系统软件和（hé）信息的（de）安全； 

· 商务连续性管理：防止商务活动的中（zhōng）断（duàn）及（jí）保护（hù）关键商务过程不受重大失误或灾难（nán）事故的（de）影响； 

· 符合：符合法律法规要求，避免刑法、民法（fǎ）、有关法令法规（guī）或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技（jì）术（shù）符合（hé）性评审，确保体系（xì）按照组（zǔ）织的（de）安（ān）全方（fāng）针及（jí）标（biāo）准（zhǔn）执行；系统审（shěn）核（hé）考（kǎo）虑（lǜ）因素，使（shǐ）效果较大化 , 并使系统审核过程的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现信息安全认证所需（xū）的（de）各（gè）项措施（shī）的详（xiáng）细指导，具有很强的可操作性和指导性。

归根结底（dǐ），信息安全工作的（de）目的就是在法律、法规（guī）、政策的支持与指导（dǎo）下，通（tōng）过（guò）采用合适的安全技术与安全管理措施，提供安全需求的保证，而 BS7799 信息（xī）安全（quán）认证标准正是总（zǒng）和了这些要求（qiú）。组织可以根（gēn）据自身特点，在 ISO/IEC 17799 指导下（xià），实现信息安（ān）全的（de）要求。

 ISO27001：2005 《信息安全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体（tǐ）系要求（qiú）》是关于信息安全管（guǎn）理（lǐ）的标准（zhǔn），是标准不（bú）是方法，达到这些标（biāo）准的要求并不难（nán），重要的是用什么（me）方法去实现。企业应将实施（shī）标准（zhǔn）作为改善内部管理的一次机会，不应（yīng）该将标准做为一种简（jiǎn）单的模式对（duì）现（xiàn）有流（liú）程运作进行（háng）套（tào）用，应对现（xiàn）有的组织（zhī）运作流程进行详（xiáng）细（xì）分析，有（yǒu）针对性地（dì）设计并改善（shàn）现有管理体（tǐ）系（xì）、改（gǎi）善薄弱环节、改善运作流程及内部沟通，并有效地（dì）将好的（de）管（guǎn）理思（sī）想（xiǎng）融合到具体的（de）实施（shī）程序中（zhōng），才能（néng）发挥（huī）标准的（de）真（zhēn）正作用。

获（huò）得认证证书（shū）不是zui终目的（de），建立有责（zé）、有序、有效的（de）信（xìn）息安全管理体（tǐ）系，提高员工的信息安全意识，不断获取并运用好的管理方法和技术手段才能使企业（yè）的信息安全管理水平得以持续的发展（zhǎn）和提升。