BS7799-2：2002信息（xī）安全管理体系规范向组织提（tí）出了一系列认证的要求，在（zài）总则中提（tí）出（chū）组织应（yīng）建（jiàn）立并保持一个文件化的信息安（ān）全管理体系（xì），阐述被（bèi）保护的资产、组织（zhī）风险管理的渠道、控制目标及控制方式和需要的保证等级；通过建立管理架构并加以实施来达到识别控制目标和控制方式，并形成（chéng）文件和记录。

BS7799-2：2002的控制细则（zé）包（bāo）括10个方面： 　

· 安全方（fāng）针：为信（xìn）息安全提供（gòng）管理（lǐ）指（zhǐ）导和支持； 

· 组织安（ān）全（quán）：建立信息安全架构，保证组织的内部管理；被第三（sān）方访问或外协时，保障组织的信息（xī）安全； 

· 资产的归类与控制：明确资产责任，保持对（duì）组织资产（chǎn）的适当保（bǎo）护（hù）；将信息进行归类，确保信（xìn）息资产受到适当程（chéng）度的保护； 

· 人员安全（quán）：在工作说明和（hé）资源方面，减少因人为错（cuò）误、盗（dào）窃、欺诈和设（shè）施误用造成（chéng）的风险；加强（qiáng）用户培训，确保用户清楚知道信息（xī）安（ān）全的危（wēi）险（xiǎn）性和相关事（shì）项（xiàng），以便在他们的日常工作中支持组织的（de）安全方针；制定安全事故（gù）或故障的反应程序，减少由安全事故和故（gù）障造成的损失，监控安全事件并（bìng）从这种事件中吸取教训（xùn）； 

· 实物（wù）与环境安全：确定安全区域，防止非授（shòu）权（quán）访（fǎng）问、破（pò）坏、干扰商务场所和信（xìn）息；通过保（bǎo）障设（shè）备安全，防止资产的丢失、破坏、资产危害及商务（wù）活动的中（zhōng）断；采用通用的控制方式，防止信息（xī）或信息处理设（shè）施损坏或失（shī）窃； 

· 通信和操作方式管理：明确操作程序及（jí）其（qí）责任，确保（bǎo）信息处理（lǐ）设施的正确、安全操（cāo）作；加（jiā）强系统（tǒng）策划与验收，减少系统失效风险（xiǎn）；防范（fàn）恶意软件以保持软件和信息的完整性；加强内务管理以保持信（xìn）息（xī）处理和通讯服务（wù）的完整性和（hé）有效性通过 ; 加强网络管理确保网（wǎng）络中的（de）信息安全及（jí）其辅（fǔ）助设施受到保（bǎo）护；通过保护媒体处理的安全 , 防止资产损（sǔn）坏和商务活动的中断；加（jiā）强信息和软件的交换的管理，防止（zhǐ）组织间在交换（huàn）信息时发生丢失（shī）、更（gèng）改和误用； 

· 访（fǎng）问控制（zhì）：按照访（fǎng）问控制的商务要求，控制信息访（fǎng）问；加强用户访问管（guǎn）理（lǐ），防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访（fǎng）问控制（zhì），保护网络服（fú）务程（chéng）序；加强操作系统访问（wèn）控制 , 防止非授权的计算机访问；加强应用访问（wèn）控制，防（fáng）止非（fēi）授（shòu）权访（fǎng）问（wèn）系统（tǒng）中的信息；通（tōng）过监控系统的访问与使（shǐ）用，监（jiān）测（cè）非授权行为；在移动式计算和电传（chuán）工作（zuò）方面 , 确（què）保使用移动式计算和电（diàn）传（chuán）工（gōng）作设施的信息安（ān）全； 

· 系统开（kāi）发（fā）与维护：明确系统安全要求，确保安全性已构成信息系统的一部份；加强（qiáng）应用系（xì）统（tǒng）的安全，防止应（yīng）用系统用户（hù）数据的丢失、被修改或误用；加（jiā）强密码技术控（kòng）制，保护（hù）信（xìn）息的保（bǎo）密性、可靠（kào）性或完整（zhěng）性；加强系统文件的（de）安全，确保（bǎo） IT 方案及其支持活动以安（ān）全的（de）方式进（jìn）行；加强开发和（hé）支（zhī）持（chí）过程的安全，确保应用系统软件和信息（xī）的安全； 

· 商务（wù）连续性管理：防（fáng）止（zhǐ）商务活动的中断及保护关键商务（wù）过程不受重大失误或灾难事故的影响； 

· 符合（hé）：符合法律法规要求，避免刑法、民法、有关法令法规（guī）或（huò）合同约定事宜（yí）及其他（tā）安全要求的规定相抵触；加（jiā）强安全方针和（hé）技（jì）术符合性评审，确保体系按（àn）照组织的安全方针及标准（zhǔn）执（zhí）行；系统审核考虑因素，使效果较大化 , 并使系统审核过（guò）程（chéng）的影响较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了（le）为实（shí）现信（xìn）息安全认（rèn）证所需的各项措施的详细指导，具有很强的可操作性和指导性。

归根结底（dǐ），信息安全工作（zuò）的目的就是在法律、法规、政策的支持（chí）与（yǔ）指导下（xià），通过采用合适的安全（quán）技（jì）术与安全管理措施（shī），提（tí）供安（ān）全需求的保证，而 BS7799 信息（xī）安全（quán）认证标准正是总和（hé）了（le）这（zhè）些要求（qiú）。组织可以根据（jù）自身特点，在 ISO/IEC 17799 指导下，实现信（xìn）息安全的要求。

 ISO27001：2005 《信息安（ān）全管理体系要求》

 ISO27001 ： 2005 《信息（xī）安（ān）全管理体（tǐ）系（xì）要求》是关于（yú）信息安全（quán）管（guǎn）理的标准，是标（biāo）准（zhǔn）不是方（fāng）法，达（dá）到这些标准的要求并不难，重（chóng）要的（de）是用什么（me）方（fāng）法去（qù）实现。企业（yè）应将（jiāng）实施标（biāo）准作为改善内部管理（lǐ）的一（yī）次机（jī）会，不应该将标准做（zuò）为一种简单的（de）模式对现有流程运作进行套用，应对（duì）现有（yǒu）的组织运作流程进行详（xiáng）细分析，有针（zhēn）对（duì）性地设（shè）计并改善现有管理（lǐ）体系（xì）、改善（shàn）薄弱环（huán）节、改善（shàn）运作流程及（jí）内部沟通（tōng），并有效地将好的管理思想融（róng）合到具（jù）体的实施程序中，才能（néng）发（fā）挥（huī）标（biāo）准的真正作用。

获得认证证书不是（shì）zui终目的，建（jiàn）立有责、有序、有效的信（xìn）息安全（quán）管理体系，提高员工（gōng）的信息安（ān）全（quán）意识，不断获取并运用好的（de）管（guǎn）理（lǐ）方法和（hé）技术手段才能使企业的信（xìn）息安全管理水平得以持续的发（fā）展和提（tí）升。