BS7799-2：2002信息安全（quán）管理体系规范向（xiàng）组织提出（chū）了一（yī）系列认证的要求，在（zài）总则中提出组（zǔ）织应建立并保（bǎo）持一个文件化（huà）的信息安全管（guǎn）理体（tǐ）系，阐述被保护（hù）的资产、组织风险管理的渠（qú）道、控（kòng）制目标（biāo）及控制（zhì）方（fāng）式和需要的保证等级（jí）；通过建立（lì）管理架构并加（jiā）以实施来达到识（shí）别控制目标和控制方式，并形（xíng）成文件和（hé）记（jì）录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为信息（xī）安（ān）全（quán）提供管理指导和支持（chí）； 

· 组织安全：建立信息安全架构，保证组（zǔ）织的（de）内部管理；被第三方访问或（huò）外协时，保障组织的信（xìn）息安全； 

· 资产的归类与控制：明确资（zī）产责任（rèn），保持对组织（zhī）资（zī）产的适（shì）当保护；将信息进行归类，确保信（xìn）息资产受到（dào）适当程（chéng）度的保护； 

· 人员安全：在工（gōng）作（zuò）说（shuō）明和资源方面，减少因人为（wéi）错误、盗（dào）窃、欺（qī）诈和设施（shī）误用（yòng）造成的（de）风险；加强（qiáng）用户培（péi）训，确保（bǎo）用户（hù）清楚知道信（xìn）息安全的危险性和相关事项，以便在他（tā）们（men）的日常（cháng）工作中支持组织的安全方针；制定安全事故或故障（zhàng）的反应程序（xù），减少（shǎo）由安全事（shì）故和（hé）故障（zhàng）造成的损失（shī），监控（kòng）安（ān）全事件（jiàn）并从这种事（shì）件中吸取教训； 

· 实物与环境安全：确（què）定安全区（qū）域（yù），防止非授权访问、破坏（huài）、干扰商务场（chǎng）所和信息；通过保障设备（bèi）安全，防止（zhǐ）资产的丢失、破坏（huài）、资产（chǎn）危（wēi）害及商务活动的中断；采用通用的（de）控制方式（shì），防（fáng）止信息（xī）或信息处理设施损坏或失窃； 

· 通（tōng）信和操作（zuò）方式管理：明确操作程序及其责任，确（què）保信息处理设（shè）施的正确、安全操作；加强（qiáng）系统策划与验收，减少（shǎo）系统失效（xiào）风险；防范恶意软件以（yǐ）保持（chí）软件和信（xìn）息的（de）完整性（xìng）；加强内务管理以保持信息处理和通讯服务的完整性（xìng）和有效（xiào）性通过 ; 加强（qiáng）网（wǎng）络管理确保（bǎo）网络中的信息（xī）安全（quán）及其辅助（zhù）设施受（shòu）到保护；通过保护媒体处理的（de）安全 , 防止资产损坏和（hé）商务活动的中断（duàn）；加强信息和软件的交（jiāo）换的管理，防止组织间在交换信息时（shí）发生（shēng）丢失、更改和误（wù）用； 

· 访问控制（zhì）：按照访问（wèn）控制的商（shāng）务要求，控制信息（xī）访问；加强用户访问管（guǎn）理，防止非（fēi）授权访（fǎng）问信息系统；明确用户（hù）职（zhí）责，防止非授（shòu）权的（de）用户访问（wèn）；加强网（wǎng）络访问控制，保护网络服务程序；加强操作（zuò）系统访问控制 , 防止非授权的计算机访（fǎng）问；加强应用访问控制，防（fáng）止非授权访问系统中的信（xìn）息；通（tōng）过监控系统的（de）访问与使用，监测非授权行为；在移动（dòng）式计算和电传工作方面（miàn） , 确保使（shǐ）用移动式计算和电传（chuán）工作设施的信（xìn）息安全； 

· 系（xì）统开（kāi）发与（yǔ）维护：明确系统安全要求，确保安全性已构（gòu）成信息系统的一部份；加（jiā）强应用系统的安全，防止（zhǐ）应用系（xì）统用户数据的丢失（shī）、被修改（gǎi）或误用；加强密（mì）码技术控制，保护信息的（de）保密性、可靠性或完（wán）整性；加强系（xì）统文件的安（ān）全，确保 IT 方（fāng）案及其支（zhī）持活动以安全的方式进行；加（jiā）强开（kāi）发和支持过程的（de）安全，确（què）保应用系统软件（jiàn）和信（xìn）息（xī）的安全； 

· 商务（wù）连续（xù）性管理：防止商务活动的（de）中断及保护关键商务过程不受重大失误或灾难事故的影响； 

· 符（fú）合：符合法律法规要求，避免（miǎn）刑法、民法、有关法令法规或合同约定（dìng）事宜及其他安全要求的规定相抵触；加强安全方针和技术符合性评审，确（què）保体系按（àn）照组织的安全方针及标准（zhǔn）执行；系统审（shěn）核考虑因（yīn）素，使效果较大化 , 并使（shǐ）系统审核过程的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现信息安全认证所需的各项措施（shī）的详细指导，具有很强的可操作性和指导（dǎo）性（xìng）。

归根结底，信息安全工作的目（mù）的就是在法律、法（fǎ）规、政策（cè）的支持与指导下，通过（guò）采用合适的安（ān）全技术与安全管理措（cuò）施，提供（gòng）安全需求的（de）保证，而 BS7799 信息安全认证标准正是（shì）总和了这些要求。组（zǔ）织可以根据自身（shēn）特（tè）点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体系（xì）要求》是（shì）关（guān）于信息安全管理的标准，是标准不是方法，达到这（zhè）些标（biāo）准（zhǔn）的要求并不难，重要的是用什么方法去实（shí）现。企业应将实施标准（zhǔn）作为改（gǎi）善内（nèi）部管理的一次（cì）机会，不应该将标准做为一种简单的模式（shì）对现有流程运作进行套用，应对现有的组织运作流程进（jìn）行详细分析，有针对性地设计并改善现有管理体（tǐ）系、改善（shàn）薄弱（ruò）环（huán）节、改善运作（zuò）流程及内部沟通，并（bìng）有效地将好的管理思想（xiǎng）融合到具体的（de）实施程序中，才能发挥（huī）标准的真（zhēn）正作用。

获（huò）得认证证书不是zui终（zhōng）目的（de），建立有责、有序、有（yǒu）效的信息安全管理体系，提（tí）高员工的信（xìn）息安全意识，不断获取（qǔ）并运用好（hǎo）的管理方法和技术手段才能（néng）使企业的（de）信（xìn）息安（ān）全管理水平得以（yǐ）持续的发展（zhǎn）和提升。