BS7799-2：2002信息安全管理体系规范向（xiàng）组织提出（chū）了（le）一系（xì）列认证的要求，在（zài）总（zǒng）则中提出组织应建立并保持（chí）一（yī）个文（wén）件化的信息安全（quán）管理体系，阐述（shù）被（bèi）保护的资产（chǎn）、组织风（fēng）险管（guǎn）理（lǐ）的渠道、控制目标及控制方式和需要的保证（zhèng）等级；通过建立管理（lǐ）架构并加以实施来达到识（shí）别控制（zhì）目（mù）标（biāo）和（hé）控制（zhì）方式，并形成文件和记录。

BS7799-2：2002的控制细则包括（kuò）10个方面： 　

· 安全方针：为信息安全提供管理指导（dǎo）和支持； 

· 组织（zhī）安全：建立信息安全架构，保证组织的内部管（guǎn）理；被第三方访（fǎng）问或外（wài）协时，保障组织的信（xìn）息安全； 

· 资产的归类与控制：明（míng）确资产责任（rèn），保持对组织资产的适当保护（hù）；将信息进行归类，确（què）保信息资产受（shòu）到适（shì）当程（chéng）度（dù）的保护； 

· 人（rén）员安全：在（zài）工（gōng）作说明和资源方（fāng）面，减少因人为错误、盗窃、欺（qī）诈和设施误用造成（chéng）的风险；加强用户培训，确保用户（hù）清楚知道信（xìn）息安（ān）全的危（wēi）险性和相关事项（xiàng），以便在他们的（de）日常工作（zuò）中支（zhī）持（chí）组织的安全（quán）方针；制定安（ān）全事故或（huò）故（gù）障的反应（yīng）程（chéng）序，减少由安全事（shì）故（gù）和故障（zhàng）造成（chéng）的损（sǔn）失，监控安全事件并（bìng）从这（zhè）种（zhǒng）事件（jiàn）中吸取教训； 

· 实物与环境（jìng）安全（quán）：确定安全区域，防止（zhǐ）非授权访问、破坏、干扰商务（wù）场所和信息（xī）；通过保障设备（bèi）安全，防止资产的丢失、破坏、资产（chǎn）危害及商务活（huó）动的（de）中断；采用通用的（de）控制方式，防止信息或信息处理设施损坏（huài）或（huò）失窃； 

· 通（tōng）信和操作（zuò）方式管理：明确操作（zuò）程序及其责任，确保信（xìn）息处理设（shè）施的正确（què）、安全操（cāo）作；加强系统策划与验收，减少系统失效风（fēng）险；防范（fàn）恶意软件以（yǐ）保持（chí）软件和信息的完整性（xìng）；加（jiā）强内（nèi）务管理以保持信息（xī）处（chù）理和通（tōng）讯服务的完整性和有（yǒu）效性通（tōng）过 ; 加强网（wǎng）络管（guǎn）理确保网络中的信息（xī）安（ān）全及其辅助设施（shī）受到保护；通过保（bǎo）护（hù）媒体处理的安全 , 防止资产损坏和商务活动（dòng）的中断；加（jiā）强信息和软件的交换的管（guǎn）理，防止组织间在交换信息时发生丢失、更（gèng）改和误用； 

· 访问控制（zhì）：按照（zhào）访问控制（zhì）的商务要求，控（kòng）制信息访（fǎng）问；加强（qiáng）用户访（fǎng）问管理，防止（zhǐ）非授权访问信息系统；明（míng）确用（yòng）户职责，防止非授权的用（yòng）户访问；加强（qiáng）网络访问（wèn）控（kòng）制，保护网（wǎng）络服务程（chéng）序；加强操作系统访问控制 , 防止非授权的计（jì）算机访（fǎng）问；加强应用访问控制，防（fáng）止（zhǐ）非授权访问系统中的信息；通过监（jiān）控系统（tǒng）的访问与使用，监测非授（shòu）权行为；在（zài）移动式计算和电传工作方面（miàn） , 确保（bǎo）使用移（yí）动（dòng）式计算和电传工作设施（shī）的信息安（ān）全（quán）； 

· 系统开发（fā）与（yǔ）维（wéi）护：明确系统安全（quán）要求（qiú），确（què）保安全性（xìng）已（yǐ）构成信息系统的一部份；加强应用系统的安全（quán），防（fáng）止应用系统用户数据（jù）的（de）丢失、被（bèi）修改或误用；加强密码（mǎ）技术控制，保护信息的保（bǎo）密性、可靠性或完（wán）整性；加强系统文（wén）件的安全，确保 IT 方案及其支持（chí）活动以安全（quán）的方式进行；加强开发（fā）和支持（chí）过（guò）程的安全，确保应用系统软件（jiàn）和信息的安全； 

· 商（shāng）务连续（xù）性管理：防止商务活动（dòng）的（de）中断（duàn）及保护关键商务过程（chéng）不受重大失误（wù）或灾难事故（gù）的影响（xiǎng）； 

· 符合（hé）：符合法律法规要求，避（bì）免刑法、民法、有（yǒu）关（guān）法令法（fǎ）规或合同约定（dìng）事（shì）宜及其他安全要求（qiú）的规定相抵（dǐ）触；加强安全方（fāng）针和技术符合（hé）性（xìng）评审，确保（bǎo）体系按照组织的安全方针及标（biāo）准执行（háng）；系统审核考虑因素（sù），使（shǐ）效果（guǒ）较大化 , 并使系统审（shěn）核过程的（de）影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现（xiàn）信息安全认证（zhèng）所（suǒ）需的各项措施的详细指导，具有很强的可操作（zuò）性（xìng）和指导性。

归根（gēn）结底，信息安全工（gōng）作的目的（de）就是（shì）在（zài）法律、法规、政策（cè）的支（zhī）持与指（zhǐ）导下，通（tōng）过采用（yòng）合适的（de）安全技术与安全管理措施，提供安全需求的（de）保证（zhèng），而 BS7799 信息安（ān）全（quán）认证标准正是总和了这（zhè）些要求。组织可以（yǐ）根据（jù）自身特点，在 ISO/IEC 17799 指导下，实现信息安全的要（yào）求（qiú）。

 ISO27001：2005 《信息安（ān）全管理（lǐ）体（tǐ）系要（yào）求》

 ISO27001 ： 2005 《信息安（ān）全管理体（tǐ）系（xì）要求》是（shì）关于（yú）信息（xī）安（ān）全管理的标准（zhǔn），是标准不是方法，达到这（zhè）些（xiē）标准的要求并（bìng）不难，重要的是用什（shí）么方法（fǎ）去实现。企业应将实（shí）施标准作为改善内部管理（lǐ）的一次机会，不应（yīng）该（gāi）将标准做为一（yī）种简（jiǎn）单的模（mó）式对现有流程运作进行套用，应对（duì）现有的组织运作流（liú）程（chéng）进行（háng）详细分析，有针对性（xìng）地设计（jì）并改善现有管理体系、改善薄弱环节、改善运作（zuò）流程及内部沟通，并有效（xiào）地将好的管理思想融（róng）合到具体的实施程序中（zhōng），才能发挥标准的真正作用。

获（huò）得认证（zhèng）证书不（bú）是zui终（zhōng）目（mù）的，建立有责、有（yǒu）序、有效的信（xìn）息安全管理体系，提高员工的信息安全（quán）意识，不（bú）断获（huò）取并运用好的管理方法（fǎ）和技术（shù）手段（duàn）才能使企业的信息安全管理水（shuǐ）平（píng）得以（yǐ）持（chí）续的发展（zhǎn）和（hé）提升。