BS7799-2：2002信息安（ān）全管（guǎn）理体系规范向组织（zhī）提出了一（yī）系列认（rèn）证的（de）要求，在总则（zé）中提出组织应建立并保持一个文件化的信（xìn）息安全管理体系（xì），阐（chǎn）述被保护的资产、组织风险管理（lǐ）的渠道、控制（zhì）目标及控（kòng）制方式和需要的保证等级；通（tōng）过建立管理架构并加以实（shí）施来（lái）达到（dào）识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全（quán）方针：为（wéi）信息安全提供管理（lǐ）指导和支持； 

· 组织安全：建（jiàn）立（lì）信息安全架构，保证组织的内（nèi）部管理；被第三（sān）方访问（wèn）或外（wài）协时，保障组织的信息安全（quán）； 

· 资产（chǎn）的归类与（yǔ）控（kòng）制：明确资产责任，保持对（duì）组织资产的适当（dāng）保（bǎo）护；将信息（xī）进行归类，确保信息资产受到适当程度的保护； 

· 人员安全：在工作说明和资源方面，减少因人为（wéi）错误、盗（dào）窃、欺诈和设施误用造成的风（fēng）险；加强用户培训，确保（bǎo）用户清楚知道信息安全的危险（xiǎn）性和相关事（shì）项，以便（biàn）在他们（men）的日常工作（zuò）中支持组织的安全方（fāng）针（zhēn）；制定（dìng）安全事故或故障的（de）反应程（chéng）序（xù），减少（shǎo）由安（ān）全事故（gù）和故障造成的损失（shī），监控安全事（shì）件并从这种事件中吸取教（jiāo）训； 

· 实物与环（huán）境（jìng）安全：确定安全区域，防止非授权访问、破坏、干扰商（shāng）务场所和信息；通过保障设备安全，防止（zhǐ）资产的丢失、破坏、资产危（wēi）害及（jí）商（shāng）务活动的中断；采用通用的控制方式，防止（zhǐ）信息或信息处理（lǐ）设（shè）施（shī）损坏或失窃； 

· 通（tōng）信和操作方式管（guǎn）理：明（míng）确操作（zuò）程序及其责任，确保信（xìn）息处理设施（shī）的（de）正确、安全操作；加（jiā）强（qiáng）系统策划与验收，减少系统失效风险（xiǎn）；防（fáng）范恶意软件以保持软件和信息（xī）的完整（zhěng）性；加强内务管（guǎn）理以（yǐ）保持信息处理和通讯服务（wù）的完整性和有（yǒu）效性通过 ; 加强网络管理确保网络中的信息安全及（jí）其辅（fǔ）助（zhù）设施受（shòu）到保（bǎo）护；通过保护媒体（tǐ）处理的安全（quán） , 防止资产损（sǔn）坏和商务活（huó）动的中断；加强信息（xī）和软件的（de）交换的（de）管理，防止组织间在交换信息时发（fā）生丢失、更改（gǎi）和（hé）误用； 

· 访问控制（zhì）：按照访问（wèn）控制的商务要（yào）求，控制（zhì）信息访问；加（jiā）强（qiáng）用户访问（wèn）管理，防止非授权访问信息系统；明确（què）用户（hù）职责，防（fáng）止非授权的用（yòng）户（hù）访（fǎng）问；加强网络访问控制，保（bǎo）护网络服务（wù）程（chéng）序；加强操作系统访问控制 , 防止非（fēi）授权的计算机访问；加强应用访问（wèn）控制，防止非授权（quán）访问（wèn）系（xì）统中（zhōng）的信息；通过监控系统的访问（wèn）与使用，监测非（fēi）授权行（háng）为；在移动式计算和（hé）电传工（gōng）作方面 , 确保使用移动式计（jì）算（suàn）和电传工作设施的信息安（ān）全； 

· 系统开发与维护：明确系统安全要求，确保安全性（xìng）已构成信（xìn）息系统的一部份；加强应用系统的（de）安全，防止应用系统用户数据的丢失、被（bèi）修改（gǎi）或误用；加强密（mì）码技术（shù）控制，保护信息的保密性、可靠性或完（wán）整性；加强系统文件的安全，确（què）保 IT 方案及其支（zhī）持活动以安（ān）全的方式进行；加强开发和支持过程的（de）安全，确保（bǎo）应用（yòng）系统软件和信（xìn）息（xī）的安全（quán）； 

· 商务（wù）连续性管理：防止商务活动（dòng）的中（zhōng）断及保护关键商务（wù）过程不受重大失误或灾难事故（gù）的影响； 

· 符合（hé）：符合法律法规要求，避免刑法、民（mín）法、有关法令法（fǎ）规或（huò）合同约（yuē）定事宜及其他安全要求的（de）规定相抵（dǐ）触；加（jiā）强安（ān）全方（fāng）针和技术（shù）符（fú）合性评审，确保体系（xì）按照组织（zhī）的安全方针及标准执行（háng）；系（xì）统审核考虑因素，使效果较大化 , 并使系统审核过程的影响较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为实现信息（xī）安（ān）全认证所需的各（gè）项措施的（de）详细指导，具有很强的可操作性和（hé）指（zhǐ）导性。

归根（gēn）结底（dǐ），信息安（ān）全工作的目的就是在（zài）法律、法（fǎ）规、政策的支持（chí）与指导下，通过采用（yòng）合适的安全技术与安全管理措施，提供安全需求（qiú）的保证，而 BS7799 信息安全认（rèn）证标（biāo）准正是总和了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下（xià），实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信息安全管理（lǐ）体（tǐ）系（xì）要求》是关于信息（xī）安全（quán）管理的标准，是（shì）标（biāo）准不是（shì）方法，达到这些标准（zhǔn）的要求（qiú）并不难，重要的（de）是用什么方法去（qù）实现（xiàn）。企业应将实施标准作为（wéi）改善内部管（guǎn）理的一次机会，不应该将标准做为一种简单的（de）模式对现有流程运作（zuò）进行套用，应对现有的组织（zhī）运作流（liú）程进行详细分（fèn）析，有针对性地设计并（bìng）改善现有管理体系、改善薄弱（ruò）环（huán）节、改善运作流程及内（nèi）部沟通，并有效（xiào）地将好（hǎo）的管理思想融合到具（jù）体的实（shí）施程（chéng）序中，才能发挥标准的真正作（zuò）用。

获得认证证书不是zui终目的（de），建立（lì）有责、有（yǒu）序、有效的信息安（ān）全管理体系，提（tí）高员工（gōng）的信（xìn）息安全意（yì）识，不断（duàn）获（huò）取并（bìng）运用好的管理（lǐ）方法和（hé）技（jì）术手段才（cái）能使企业的（de）信息（xī）安（ān）全（quán）管理水平得以（yǐ）持续的发展和提升。