BS7799-2：2002信息安（ān）全管理体系（xì）规范向组织提出（chū）了一系列认证的要求，在总则中提出（chū）组织应建立（lì）并保持一个文件化（huà）的信息安全管（guǎn）理体系，阐（chǎn）述被保护（hù）的资（zī）产、组织风险（xiǎn）管理（lǐ）的（de）渠道、控制目标及（jí）控（kòng）制方式和需要的保证等（děng）级（jí）；通（tōng）过建立管理架构并加以实施来达到识别控制目标（biāo）和控制方式，并形成文件和记（jì）录。

BS7799-2：2002的控制细则（zé）包括10个（gè）方面： 　

· 安全方针：为信息安全提供管理指（zhǐ）导和（hé）支持； 

· 组织安全（quán）：建立信息安全架构，保证组织的内部（bù）管理；被第三方访问或外协时（shí），保障（zhàng）组织（zhī）的（de）信（xìn）息安全； 

· 资产的归类与控制：明确（què）资（zī）产责任，保持对组（zǔ）织资（zī）产的适当保护；将信息进行归类，确保信息资产受（shòu）到适当程度的（de）保护； 

· 人员安全：在工作说明和资源（yuán）方（fāng）面，减（jiǎn）少因人为错误、盗窃、欺诈和设（shè）施误用造成的风（fēng）险；加（jiā）强用（yòng）户（hù）培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们（men）的日常工作中支持组织的安全方针；制定（dìng）安全事故或故障（zhàng）的反应程序（xù），减少（shǎo）由安全事故和故障造成的损失，监控安（ān）全事（shì）件并从（cóng）这种事件中吸取教训； 

· 实物与环境（jìng）安全（quán）：确定（dìng）安全区域（yù），防（fáng）止非授（shòu）权访问、破坏、干扰（rǎo）商务场（chǎng）所（suǒ）和信息；通过保障设备安全（quán），防止资产的丢（diū）失、破坏、资产危（wēi）害及（jí）商务（wù）活动的中断（duàn）；采用通用的控制方式（shì），防止信息或信（xìn）息处理设（shè）施损坏或失窃； 

· 通信和操作方式管理（lǐ）：明（míng）确操（cāo）作程序及其责任，确保（bǎo）信息处理设（shè）施的正确、安（ān）全（quán）操作；加强系统（tǒng）策划与验收，减少系（xì）统失效（xiào）风险；防（fáng）范恶意软件以保持软件和信息的（de）完整性（xìng）；加强内务管（guǎn）理（lǐ）以保持信息处理（lǐ）和通讯（xùn）服务的完整性和有（yǒu）效（xiào）性通过 ; 加强网络管理确保网络中的信息（xī）安全及其辅助设施受（shòu）到保护；通（tōng）过保（bǎo）护媒体（tǐ）处理的安全 , 防止资产损坏和商务活动的中断；加强（qiáng）信息（xī）和软（ruǎn）件的（de）交换（huàn）的管（guǎn）理（lǐ），防（fáng）止组织间在交换信息时发（fā）生丢失、更改和误用； 

· 访问控制（zhì）：按（àn）照访问控制的商务（wù）要求，控制信息访问；加强（qiáng）用户访问管理，防止非授权访问信息系（xì）统；明确用（yòng）户职（zhí）责，防止非授权的用户访问；加强网络（luò）访问控制，保护网络服务程序；加强（qiáng）操（cāo）作（zuò）系统访（fǎng）问控制 , 防止非授权的计（jì）算机访（fǎng）问；加（jiā）强（qiáng）应用（yòng）访问控制，防止非授权（quán）访问系统中的（de）信息；通过监控系统的访问与使用，监（jiān）测非授（shòu）权行为；在移动式计算（suàn）和电（diàn）传工（gōng）作方面 , 确保使用移动式计算和电传工作设施的信息安全； 

· 系（xì）统开发与维护：明确（què）系统（tǒng）安（ān）全（quán）要求（qiú），确保安全性已构（gòu）成信息系（xì）统的（de）一（yī）部份；加强应用系（xì）统的安全（quán），防止应（yīng）用系统用（yòng）户数据的丢失、被修改或误用；加强密码技术控制（zhì），保护信息的保密性、可靠性或（huò）完整性；加强系统文件的安全（quán），确保 IT 方案（àn）及其支持活动以安全的方式进行；加强开发和（hé）支持过程的安全，确保应用系统软件和信（xìn）息的安全； 

· 商（shāng）务连续性管（guǎn）理：防止商务活动（dòng）的中断及（jí）保护（hù）关键商务过程不受重大（dà）失误或灾难（nán）事故的（de）影响； 

· 符（fú）合：符合法（fǎ）律法规要求，避免刑法、民法、有关法（fǎ）令（lìng）法规或合同（tóng）约定事宜及其他（tā）安全要（yào）求的（de）规定相抵触；加强安全方针和技术符（fú）合性（xìng）评审，确保体系按照组织的安全方针及标（biāo）准执（zhí）行；系统审核考（kǎo）虑因素，使（shǐ）效果较大化（huà） , 并使系（xì）统（tǒng）审核过程的影响（xiǎng）较小（xiǎo）化（huà）。 　 

在国际标准（zhǔn） ISO/IEC17799 给出了为实现信息安（ān）全认证所需的各（gè）项措施的详细指导，具（jù）有（yǒu）很强的可操作（zuò）性和指导性。

归（guī）根结底，信息安全（quán）工作的目的就是在法律（lǜ）、法规、政策的支持与（yǔ）指导下，通（tōng）过采用合适（shì）的安全技术与安（ān）全管理措施（shī），提供安全需（xū）求（qiú）的（de）保证，而 BS7799 信息安（ān）全认证标准正（zhèng）是总和了这（zhè）些要（yào）求（qiú）。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信（xìn）息（xī）安全的（de）要求。

 ISO27001：2005 《信息（xī）安全（quán）管理体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信（xìn）息安全管理的标（biāo）准，是标（biāo）准不是方（fāng）法，达到这些标准（zhǔn）的要求并不难，重要的是用什（shí）么方法去实现。企业应将实施标准作为改善内部管理的一次机会，不应该将标准做为（wéi）一种简单的模式对现有（yǒu）流程运作（zuò）进行套用，应（yīng）对现有的组织运作流程进行（háng）详细分析（xī），有针对性地设计并改善现有管理体（tǐ）系、改善薄弱环节、改善运作流（liú）程及（jí）内部沟通，并有效地将好（hǎo）的管理思想（xiǎng）融合到具体（tǐ）的实施程序中，才能发挥（huī）标准的真正作用（yòng）。

获（huò）得认证证（zhèng）书不是zui终目的，建立有责、有序（xù）、有效（xiào）的信息安（ān）全管（guǎn）理体系，提高员工的信息安（ān）全（quán）意（yì）识，不断获取并运（yùn）用好的管理（lǐ）方法和技术手段（duàn）才能使企业的（de）信息安全管理水平得以持续的发展和提升。