BS7799-2：2002信息安全管理（lǐ）体系规范向（xiàng）组织提出了一系（xì）列认证的要求，在总则中（zhōng）提出组织应建立并（bìng）保持（chí）一个文件化的信息安全管（guǎn）理体系（xì），阐述被保护的资（zī）产、组织风险管理的渠道、控制目标及（jí）控制（zhì）方式和需（xū）要的保证等级；通过（guò）建立管理（lǐ）架构（gòu）并加以实（shí）施来达到识（shí）别控制目标和控（kòng）制方式，并形成文件和记录（lù）。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全方针（zhēn）：为（wéi）信息安全提供管理指（zhǐ）导和支持； 

· 组织（zhī）安全：建立信息安（ān）全架构（gòu），保证组织的内（nèi）部管理（lǐ）；被第三方访（fǎng）问（wèn）或外协时，保（bǎo）障组织的信息安（ān）全； 

· 资产的归类与控制（zhì）：明确资产责任，保（bǎo）持对组织资（zī）产的（de）适当保护；将信息进行归类（lèi），确保信息资产受到（dào）适当程度的（de）保护（hù）； 

· 人员安全：在工作（zuò）说明（míng）和资源方面，减少因人（rén）为错误、盗窃、欺诈和（hé）设施误用造（zào）成的风险；加强用户培训，确保用（yòng）户清楚知道（dào）信息（xī）安（ān）全（quán）的（de）危险性和相关（guān）事项，以便在他们的日（rì）常工（gōng）作中支持组织的（de）安全方针；制定（dìng）安（ān）全事故或故（gù）障（zhàng）的反应程序，减（jiǎn）少由安全事故和故障造成的损失，监控安全事件并从（cóng）这种（zhǒng）事（shì）件（jiàn）中吸取教训； 

· 实物（wù）与环境安全：确定安全区（qū）域，防止非授（shòu）权访问（wèn）、破坏、干扰商务场所和信（xìn）息；通过保（bǎo）障设备安（ān）全，防止资产的丢失、破坏、资产危害及商务活动的（de）中断；采用（yòng）通用的控制方式，防止信息或信息处理（lǐ）设施损坏或失窃； 

· 通信和操作方（fāng）式管理：明确操作程序及其责任，确保信息处理设施（shī）的正确、安全操作；加强系（xì）统策划与验收，减少（shǎo）系统失效（xiào）风险；防范恶（è）意软件（jiàn）以保持软件和信（xìn）息的完整性；加强内务管理以（yǐ）保持信息（xī）处理（lǐ）和通讯服务的完整性和有效性通过 ; 加（jiā）强网（wǎng）络管理（lǐ）确保（bǎo）网络（luò）中的信息安全及其辅助设施受到保护；通过保护媒体处理（lǐ）的（de）安全 , 防止资产（chǎn）损（sǔn）坏和商务（wù）活动的中断；加（jiā）强信息和软件的交换的（de）管理（lǐ），防止（zhǐ）组织间在（zài）交换（huàn）信息时发生（shēng）丢失（shī）、更改和误用； 

· 访问控制：按照访（fǎng）问控制的商（shāng）务要求，控制信息访问；加强用户访问管（guǎn）理，防止非授权访问信息系（xì）统；明确（què）用户职责，防止非授权的用户访问（wèn）；加（jiā）强网络访问控制（zhì），保（bǎo）护网络服务程序；加强操作系统访问控制 , 防止（zhǐ）非（fēi）授权的（de）计算机（jī）访问；加强应用访问控制，防止非授权访问系统中的信（xìn）息；通（tōng）过监控系统的访问与使用，监测非授权（quán）行为；在移（yí）动式计算和电传工作方面（miàn） , 确（què）保使用移动式计算和电传工（gōng）作设施的信息安（ān）全； 

· 系统开发与维护：明（míng）确系统安全要求，确（què）保安全（quán）性已构成信息系统（tǒng）的一部份；加强应用系统的（de）安全（quán），防止应用系统用（yòng）户数据（jù）的丢失、被修改或（huò）误用；加（jiā）强密码技术控制，保护信息的（de）保（bǎo）密性、可靠性或（huò）完整（zhěng）性；加强系统文件的安（ān）全，确保 IT 方案及其支持（chí）活（huó）动以安全的方（fāng）式进行；加（jiā）强开发和支持过程的（de）安全，确保（bǎo）应用系统软件（jiàn）和信息的安（ān）全； 

· 商（shāng）务连续（xù）性（xìng）管理：防止商务活动的（de）中断及保护关键（jiàn）商务过（guò）程不受重大失误或（huò）灾难事故的影响； 

· 符合：符合法（fǎ）律法规要求（qiú），避免刑法（fǎ）、民法、有关（guān）法令法（fǎ）规或合同约定事（shì）宜及其他安全（quán）要求的规定相抵触；加强安全（quán）方针和技术符合（hé）性（xìng）评（píng）审，确保体系按照组织的安（ān）全方（fāng）针及标准（zhǔn）执行；系统审核（hé）考（kǎo）虑因素，使效（xiào）果较大化 , 并使系统（tǒng）审核过程的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安（ān）全认证所需的各项措施的（de）详细指导，具有很强的可操作性（xìng）和指导性。

归根（gēn）结底，信息（xī）安全工作的目的就是在法律、法规、政策的支持与指导（dǎo）下（xià），通过采（cǎi）用合（hé）适的安（ān）全技术与（yǔ）安全管理措施，提供安全需求的保（bǎo）证，而 BS7799 信息安全认证标（biāo）准正是总和了这些要（yào）求。组（zǔ）织可以根（gēn）据自身特点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息（xī）安全管理的标准，是标准不是方法（fǎ），达到这（zhè）些（xiē）标准的要求并不难，重要的是用什么方法去实现。企业应将实施标准作为改（gǎi）善（shàn）内部管（guǎn）理的一次机（jī）会（huì），不应该（gāi）将标准做（zuò）为一种简单的模式对现有（yǒu）流程运作（zuò）进行套用，应对现有（yǒu）的组织运作流程进行详细分析，有针（zhēn）对性地设计并改善现（xiàn）有管（guǎn）理体系、改善薄弱（ruò）环节、改善运作流程及内部（bù）沟通，并有效地将好的管理思（sī）想（xiǎng）融（róng）合到具体的实施程序中，才能发挥标准的（de）真正作用。

获得认证证书不是zui终目的，建（jiàn）立（lì）有（yǒu）责（zé）、有序、有效的信息安全管理体系，提高员工（gōng）的（de）信息安全意识，不断获（huò）取并运用好的管理方（fāng）法和技（jì）术（shù）手段（duàn）才能（néng）使企业的信息安全管理水平得以（yǐ）持（chí）续的发（fā）展和提升。