BS7799-2：2002信息安（ān）全管理体系规范向组织提出了一系（xì）列（liè）认证的要求，在总则中提（tí）出组织应（yīng）建立并（bìng）保持一（yī）个文件化的（de）信息安（ān）全管理体系，阐（chǎn）述被保护的资产、组织风（fēng）险管理的渠道、控制目（mù）标及控制方（fāng）式和需要的保证等级；通过建（jiàn）立管理（lǐ）架构并加以（yǐ）实施（shī）来达到识别控制（zhì）目标和控制（zhì）方式，并形成文（wén）件和记录。

BS7799-2：2002的控制细则包括10个方（fāng）面： 　

· 安全方针：为信息（xī）安全提供管理指导（dǎo）和（hé）支持； 

· 组织安全：建立信息安（ān）全架构，保证组织的内部管理；被第三方访问或外协（xié）时，保（bǎo）障组织（zhī）的（de）信息安全； 

· 资产的归（guī）类与控制：明确资产责任，保持（chí）对组织资产的适（shì）当保护；将信息进行（háng）归类，确保（bǎo）信息资产受到适当（dāng）程（chéng）度的保（bǎo）护； 

· 人员安全：在（zài）工作说（shuō）明和（hé）资源方面，减少因人为错误、盗窃、欺诈和设施误（wù）用造成的风险；加强用户（hù）培训，确保用户（hù）清楚知道信息（xī）安全的危险性和相关事（shì）项，以（yǐ）便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由（yóu）安全（quán）事故和故障造成（chéng）的损失，监控安全事（shì）件并（bìng）从这种（zhǒng）事件中吸取教（jiāo）训； 

· 实物（wù）与（yǔ）环境安（ān）全：确定安全区域，防止非授权访问、破坏、干扰商务场（chǎng）所和信息；通（tōng）过保障设（shè）备安全，防止资产（chǎn）的丢失、破坏、资（zī）产危害及商（shāng）务（wù）活动（dòng）的中（zhōng）断；采用通（tōng）用的控制（zhì）方（fāng）式，防止信息或信息处理设施损坏或失窃； 

· 通信和操作（zuò）方式管理：明（míng）确（què）操（cāo）作程序（xù）及其（qí）责（zé）任，确保信息处理设施的正确、安（ān）全操（cāo）作；加强系统策（cè）划与验收（shōu），减少（shǎo）系统失效风险；防（fáng）范恶意软件以保（bǎo）持软件和信息（xī）的完整（zhěng）性；加强（qiáng）内务（wù）管（guǎn）理（lǐ）以（yǐ）保持（chí）信（xìn）息处理（lǐ）和通讯服（fú）务的完整性和有效性通过 ; 加强网络管理确保网络中的信息安全及其辅助（zhù）设施（shī）受（shòu）到保（bǎo）护（hù）；通过保护媒体处理的（de）安全 , 防止资（zī）产（chǎn）损坏和商务（wù）活动的中断；加强信息和软件的交换的管理（lǐ），防（fáng）止组织（zhī）间在（zài）交（jiāo）换信息时发（fā）生丢失、更改和误用； 

· 访问控制：按照访问控制的商务要求，控制（zhì）信息（xī）访问；加强用户访问管理，防止非（fēi）授权（quán）访问信（xìn）息（xī）系统（tǒng）；明（míng）确用户职责，防止非授权的用户访问；加强网络（luò）访问控制（zhì），保护网（wǎng）络服务程序；加强操作系统访问（wèn）控制（zhì） , 防止非授（shòu）权的计算机访问；加（jiā）强应用访问控（kòng）制，防（fáng）止非授权访问系统中的信息；通（tōng）过监（jiān）控系统的访问与使（shǐ）用，监测（cè）非授权行为；在移动式计算和电传工作（zuò）方（fāng）面 , 确保使用移动式计算和电传工作（zuò）设施的信息安全； 

· 系统开发（fā）与（yǔ）维护（hù）：明确系统（tǒng）安全要求，确保安全性已构成信（xìn）息系（xì）统的一部份；加（jiā）强应用系统的安全（quán），防（fáng）止应用系统用户（hù）数据的（de）丢失、被修改（gǎi）或误用；加强密码技术控制，保护信息（xī）的保密性（xìng）、可靠性或完整性（xìng）；加（jiā）强系统文（wén）件（jiàn）的安（ān）全，确保 IT 方案及其支持活动以（yǐ）安全的方式进行（háng）；加强开发和（hé）支持过程的安全（quán），确（què）保应用系统（tǒng）软件和信息的安全； 

· 商（shāng）务连续性管理：防止商务（wù）活动的中（zhōng）断及（jí）保护关键（jiàn）商务过程（chéng）不（bú）受重大失（shī）误或灾难事故的影（yǐng）响； 

· 符合（hé）：符合（hé）法律法规要求（qiú），避免刑法（fǎ）、民法、有关（guān）法令法规或合（hé）同约定事宜（yí）及其他安全要求（qiú）的规定相（xiàng）抵触；加强安全方针和（hé）技术符合性（xìng）评审（shěn），确保体系按（àn）照组织的安全方针及标（biāo）准执行；系统审核（hé）考虑因素，使效果较大化 , 并使系（xì）统审核过程的（de）影响较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了（le）为实现信息（xī）安（ān）全认证所需的各（gè）项措施的详细指导，具有（yǒu）很强的（de）可（kě）操作（zuò）性和指导性。

归根结底，信（xìn）息安（ān）全工作的目（mù）的就是在法律、法规、政策的支（zhī）持（chí）与指导下，通过采用合（hé）适的安全技术与安全管理措（cuò）施，提供安全需求的保证，而 BS7799 信（xìn）息安全认证（zhèng）标准正（zhèng）是总（zǒng）和了这些要求。组织（zhī）可以根据自身（shēn）特点，在 ISO/IEC 17799 指导（dǎo）下，实现（xiàn）信息安全的要求。

 ISO27001：2005 《信息安（ān）全（quán）管理体系（xì）要求》

 ISO27001 ： 2005 《信（xìn）息（xī）安全管理体系要求》是关（guān）于信（xìn）息安全管理的标准，是标准不是方（fāng）法，达到（dào）这些（xiē）标准的（de）要求并（bìng）不难，重要的（de）是（shì）用什么方法（fǎ）去实现。企业应将实施标准作为改善内部管理的（de）一次（cì）机（jī）会，不应该将标准做为一种（zhǒng）简单（dān）的（de）模式对现有流程运（yùn）作进行套用，应对现有（yǒu）的组（zǔ）织运作（zuò）流程进行详细分析，有（yǒu）针（zhēn）对性（xìng）地设（shè）计并改善现有管理体系（xì）、改善薄弱环节、改善（shàn）运作流程及（jí）内部沟通（tōng），并有（yǒu）效地将好的（de）管理思想（xiǎng）融合到具体的（de）实（shí）施程序中，才能发挥标准的（de）真正作用。

获得认证证书（shū）不是zui终目（mù）的，建立有责、有序、有效的信息安（ān）全管理体系（xì），提（tí）高员工（gōng）的信息安（ān）全意（yì）识（shí），不断获取并运用好的管（guǎn）理方法和技术手段才能（néng）使企业的（de）信息安全管理水（shuǐ）平得以持续的发展和提升。