BS7799-2：2002信息安全（quán）管理体系规范向组织提出了一系列认证（zhèng）的要（yào）求，在总则中提出组织应建（jiàn）立（lì）并（bìng）保持一（yī）个文（wén）件（jiàn）化的（de）信息安全管理体系（xì），阐述被保护的（de）资产、组织风险管理的渠道（dào）、控制目标及控制方式和（hé）需（xū）要的保证等级；通（tōng）过建立管理架构并加以实施来达到识别控制目标和控制方式，并形（xíng）成（chéng）文件和记录。

BS7799-2：2002的控制细则包括10个方面（miàn）： 　

· 安全方针：为信息（xī）安全提供管理（lǐ）指（zhǐ）导和支（zhī）持； 

· 组（zǔ）织安全：建立信息安全（quán）架构，保证（zhèng）组织的（de）内部管理（lǐ）；被第（dì）三方访问或外（wài）协时，保障组织的信息安全； 

· 资（zī）产的归类与（yǔ）控制：明（míng）确资产责任（rèn），保持对组织资产（chǎn）的适当（dāng）保护；将信息进行归（guī）类，确保信息资产受到适当程度的保（bǎo）护； 

· 人员安全（quán）：在工作说（shuō）明和资源方（fāng）面，减少因人为（wéi）错误、盗窃、欺诈和（hé）设施误用造成（chéng）的（de）风险（xiǎn）；加强用户培训，确保用户清楚知道信息安全的危险性和（hé）相关事（shì）项，以（yǐ）便在他们的（de）日常工作（zuò）中支持组（zǔ）织（zhī）的安全方针；制定安全（quán）事故或故障的反应（yīng）程序（xù），减少由安全事故和故障造成的损失，监控安全（quán）事件并从这种事件（jiàn）中（zhōng）吸取教训； 

· 实物与环境安全：确（què）定安全区域（yù），防止非授（shòu）权访问、破坏（huài）、干扰（rǎo）商务场所和信（xìn）息；通过保（bǎo）障（zhàng）设备安（ān）全，防止（zhǐ）资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或（huò）信息处理设施损坏或（huò）失（shī）窃； 

· 通信和操作方式管理：明确操作程序及其责任，确保信（xìn）息处理设（shè）施的（de）正确（què）、安全操作；加（jiā）强系统策划与验收，减少系统失效风（fēng）险；防（fáng）范恶意软件以（yǐ）保持软件（jiàn）和（hé）信息的完整（zhěng）性；加强（qiáng）内务管（guǎn）理以（yǐ）保持信息处理（lǐ）和通讯服务的完（wán）整性和（hé）有（yǒu）效性通过（guò） ; 加强网络管（guǎn）理（lǐ）确保网（wǎng）络中的信息安（ān）全（quán）及其辅助设（shè）施（shī）受到保护；通（tōng）过保护媒体处理（lǐ）的安全 , 防（fáng）止资（zī）产损坏和商务活动（dòng）的中断；加强信息和软件的交（jiāo）换的（de）管理，防止组织间在交换信息时发生丢失、更（gèng）改和误（wù）用（yòng）； 

· 访问控制：按照访问（wèn）控制的商务要求，控制（zhì）信息（xī）访问；加强用户访问管理（lǐ），防止非授权（quán）访问信息（xī）系（xì）统；明确用（yòng）户职责，防止（zhǐ）非（fēi）授权（quán）的用（yòng）户（hù）访问；加（jiā）强网（wǎng）络访问控制，保护网络服务程序；加强操作系（xì）统访问（wèn）控制 , 防止非授（shòu）权的计算机访（fǎng）问；加强应（yīng）用访问控制（zhì），防止（zhǐ）非授权访问系统（tǒng）中的信息；通过监（jiān）控系统的访问与使用，监测非授权行（háng）为；在移动式计算和（hé）电传工作（zuò）方面 , 确（què）保（bǎo）使（shǐ）用移动式计算和电传工作设施的信息安全； 

· 系统开发与维护：明确系统（tǒng）安全要求，确（què）保安全（quán）性已构成（chéng）信（xìn）息系（xì）统的一部份；加强应用系统的安全，防止应用（yòng）系统用户数（shù）据的丢失、被修改或误（wù）用；加强密码技（jì）术控（kòng）制，保护信息的保密性、可（kě）靠性（xìng）或完（wán）整性；加（jiā）强系统文件（jiàn）的安全，确保 IT 方案及其（qí）支持（chí）活动以安全的方（fāng）式进行；加（jiā）强（qiáng）开发和（hé）支（zhī）持过程的（de）安全，确保（bǎo）应用系统软件和信息（xī）的安全； 

· 商务（wù）连续性管理：防止商（shāng）务（wù）活动的中断及保护（hù）关键（jiàn）商务过程不受（shòu）重大（dà）失（shī）误或灾难事故的（de）影响； 

· 符合：符合法律法规（guī）要求，避免刑（xíng）法、民法、有关法令法规或（huò）合同约定事宜（yí）及其他安（ān）全要求的规定相抵（dǐ）触；加强安全方针和技术符合性评审，确保体系按照组织（zhī）的（de）安（ān）全方针（zhēn）及标准执行；系统审核考（kǎo）虑因（yīn）素，使（shǐ）效果（guǒ）较大（dà）化 , 并使系统审（shěn）核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息（xī）安全认证所需（xū）的各项措施的详细指（zhǐ）导，具有很（hěn）强的可操作性和指导性。

归根结底，信息安全工作的（de）目的就是在法律、法规、政策的支持与指导下（xià），通过（guò）采用（yòng）合适的安全（quán）技术与安全（quán）管理措施，提供安全需求（qiú）的（de）保（bǎo）证，而 BS7799 信息安全认证标准（zhǔn）正是总（zǒng）和了这些要求。组织可以根据自（zì）身特点，在 ISO/IEC 17799 指（zhǐ）导下，实（shí）现信息安全的要求。

 ISO27001：2005 《信息（xī）安（ān）全管理体（tǐ）系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关（guān）于（yú）信息安全管理的标准，是标准不是（shì）方法，达到这些标（biāo）准的（de）要求（qiú）并（bìng）不难，重要的是（shì）用什么方法去实现。企业（yè）应（yīng）将实施标准作为改善（shàn）内部管理的（de）一次机（jī）会，不应该将（jiāng）标（biāo）准做为（wéi）一种简单的模（mó）式对现有流程运作进行套用，应对现有的组织（zhī）运作（zuò）流（liú）程进（jìn）行（háng）详细分析，有针对性地设计并改善现有管理体系、改善（shàn）薄弱环（huán）节、改善运作流程及内部沟通，并有效地将好的管理（lǐ）思想融（róng）合（hé）到具体的（de）实施程序中，才能发挥标准（zhǔn）的真正作用。

获得认证证书不是（shì）zui终目的，建立有（yǒu）责、有序、有效的信息安全管理体系（xì），提高员工的信息安全意识，不（bú）断获（huò）取并运用好的（de）管理方法和技术（shù）手段才能使企业（yè）的（de）信息安全管理水平得以持续的发展和提升。