BS7799-2：2002信息安全管（guǎn）理体（tǐ）系规范（fàn）向组织（zhī）提出了一系列认证的要求，在总则（zé）中提出组织应建立并保（bǎo）持（chí）一个文件（jiàn）化（huà）的信息安全管理体（tǐ）系，阐述被保护的资产、组织风险管理（lǐ）的渠（qú）道、控制目标及控制方（fāng）式和需要的保（bǎo）证等级；通过建立管理架（jià）构并加以实施来达到识别控制目标和控制方式（shì），并形（xíng）成文件和记录。

BS7799-2：2002的控制细则包括10个方面（miàn）： 　

· 安全方针：为信息安全提（tí）供管理指导和支持； 

· 组（zǔ）织安全（quán）：建（jiàn）立信息（xī）安全架构，保（bǎo）证（zhèng）组织（zhī）的内部管理；被（bèi）第（dì）三（sān）方访问或外协时，保障组（zǔ）织（zhī）的信息安全； 

· 资产的归类与（yǔ）控制：明确（què）资产（chǎn）责（zé）任（rèn），保持对组织资产（chǎn）的适当（dāng）保护（hù）；将信息（xī）进行归（guī）类，确保信息资产受到适当程度的保护； 

· 人（rén）员安全（quán）：在工作说明和（hé）资源（yuán）方面，减少（shǎo）因人为错（cuò）误、盗窃、欺诈和设施误用造（zào）成的风险；加强用户培训，确保（bǎo）用户清楚知道信息安（ān）全的危险（xiǎn）性和（hé）相（xiàng）关事项，以便在他们的日常工作中支（zhī）持组织的安全方（fāng）针；制定安全事故或故障的反应程序，减（jiǎn）少由安全事故和故障造（zào）成的损失（shī），监控安全事件并从这种事件（jiàn）中吸取教训； 

· 实物（wù）与环境安全：确（què）定安全（quán）区域，防止（zhǐ）非（fēi）授权访问、破坏（huài）、干扰（rǎo）商务场所和信息；通（tōng）过（guò）保障（zhàng）设备安（ān）全，防止资（zī）产的丢失、破坏、资产危害及商务活（huó）动的（de）中断；采用（yòng）通用的控（kòng）制方式，防止信息或信息处（chù）理设施损坏或失（shī）窃； 

· 通（tōng）信（xìn）和操作方式管理：明确操（cāo）作程序（xù）及其责任，确保信息处理设施的正确、安全操（cāo）作；加强（qiáng）系统策划与（yǔ）验收，减（jiǎn）少（shǎo）系统失（shī）效风险（xiǎn）；防范恶（è）意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通（tōng）讯服务的完整性和有效性（xìng）通（tōng）过 ; 加强（qiáng）网络管理确保网络中的信息安（ān）全及其辅助设施受到保护；通过保护媒体处理的（de）安全 , 防止资产损坏（huài）和商务活动的（de）中断；加强（qiáng）信息和软件（jiàn）的（de）交换的管理，防止（zhǐ）组织间在交（jiāo）换信息时发生丢（diū）失、更（gèng）改和误用； 

· 访问（wèn）控制：按照访问控制的商务要求，控制信息访问；加强用户访问管理，防（fáng）止非授权访问信息系（xì）统；明确（què）用（yòng）户（hù）职责，防止非授（shòu）权的用户访问；加（jiā）强（qiáng）网络访问控制，保护网络（luò）服务程（chéng）序；加强操作系统访问控制 , 防止非授权的计算机（jī）访问；加强应用访问（wèn）控制，防止非授权访问（wèn）系统中的信息；通（tōng）过监控系统的访问与使用（yòng），监测（cè）非授权行（háng）为；在（zài）移动式计算和电传工作方面 , 确（què）保使用移动式计算和电传工作设（shè）施的信息安全； 

· 系统开发与维护：明确系统安全要求，确保（bǎo）安全性已构成信息系统的一部份（fèn）；加强应用（yòng）系（xì）统的安全，防（fáng）止（zhǐ）应（yīng）用系（xì）统用户数据的丢失、被修改或误用；加（jiā）强密（mì）码技术（shù）控制，保护信息的保密性、可靠性或完整性；加强系统文件的（de）安全，确保 IT 方案及（jí）其支持（chí）活（huó）动（dòng）以（yǐ）安全（quán）的（de）方式进行（háng）；加强（qiáng）开发和支持过程（chéng）的安全（quán），确保应用系统软件和信（xìn）息的安全（quán）； 

· 商务连（lián）续性管（guǎn）理：防（fáng）止商务（wù）活动的中断及保（bǎo）护关键商（shāng）务过程不受重大失误或（huò）灾难（nán）事故的影响； 

· 符合：符（fú）合法律法规要求，避免刑（xíng）法、民法（fǎ）、有（yǒu）关法令法（fǎ）规或（huò）合（hé）同约（yuē）定（dìng）事宜及其他安全（quán）要求的规定相抵触；加强安全方针和技术符合性（xìng）评审，确（què）保体（tǐ）系按照组（zǔ）织的安全方（fāng）针及标准（zhǔn）执（zhí）行；系统（tǒng）审核考虑因素，使效果较大化 , 并（bìng）使系统审（shěn）核过程的影响（xiǎng）较小化。 　 

在国（guó）际标（biāo）准（zhǔn） ISO/IEC17799 给出了为实（shí）现信息安全认证（zhèng）所需（xū）的各项（xiàng）措（cuò）施的（de）详细指导（dǎo），具有很强的可操（cāo）作性和（hé）指导性。

归（guī）根（gēn）结底，信息安（ān）全工作（zuò）的（de）目（mù）的就是在（zài）法律（lǜ）、法规、政策（cè）的支持与指导下，通过采用合适的安（ān）全（quán）技术与安全管理（lǐ）措施，提供安全（quán）需求的保证，而 BS7799 信息安（ān）全（quán）认证标准正是总和了这些要求。组（zǔ）织可以根（gēn）据自身特点，在 ISO/IEC 17799 指导下，实现信息安（ān）全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全（quán）管理体系（xì）要求（qiú）》是关于信息安全管理的标准，是标准不是方法，达（dá）到这些标准的要求并（bìng）不（bú）难，重（chóng）要的是用什么方法去实（shí）现。企业应将实施标（biāo）准（zhǔn）作为（wéi）改善内部管理的一次机会，不应该将标准做（zuò）为（wéi）一种简单的模式对（duì）现有流程运（yùn）作进（jìn）行（háng）套（tào）用，应对现有的组织（zhī）运作流（liú）程进行（háng）详细分（fèn）析，有针对性地设计并改善现有管理体系、改善薄弱环节（jiē）、改善运作（zuò）流程及内部沟通，并（bìng）有效地将好的管理（lǐ）思想融（róng）合到具体的实（shí）施程序（xù）中，才（cái）能发挥标准的真（zhēn）正作用。

获得认证证书（shū）不是zui终目的，建（jiàn）立有责、有（yǒu）序、有效的信息安全管理体系，提高员（yuán）工的（de）信息（xī）安（ān）全意识（shí），不断获取并运用（yòng）好（hǎo）的管（guǎn）理方法和（hé）技术手段（duàn）才能使企业的信息安全管理水平得（dé）以持续的发展和提升。