BS7799-2：2002信息安全管理体系规范向（xiàng）组织提（tí）出了（le）一系列认证的（de）要求，在总则中提出（chū）组织应（yīng）建（jiàn）立并保持（chí）一个文件化的（de）信息安全管理体系（xì），阐述被保护的资产、组织风险管理的渠道、控（kòng）制（zhì）目标（biāo）及控制方式和需要的保证等级；通（tōng）过建（jiàn）立（lì）管（guǎn）理架构并加以实施来达到（dào）识（shí）别控（kòng）制目（mù）标和控制方式，并（bìng）形（xíng）成文件和记（jì）录。

BS7799-2：2002的控制细则包（bāo）括10个方面： 　

· 安全方针（zhēn）：为信息安全提供（gòng）管理指导和支持； 

· 组织安（ān）全：建立（lì）信息（xī）安全架构（gòu），保（bǎo）证组织的（de）内部管理；被第三方访问或（huò）外协时，保（bǎo）障组织的（de）信息安（ān）全； 

· 资产的归类与控制：明确资产（chǎn）责任，保持（chí）对组织资（zī）产的适当保护；将信息进行归类，确保信息（xī）资产受（shòu）到适（shì）当程度的保护（hù）； 

· 人员安全：在（zài）工作（zuò）说明（míng）和资源方面，减少因人为错误、盗（dào）窃、欺诈和设（shè）施误用造成的风险；加强用户培训，确（què）保用户清楚知道信息安全（quán）的危险性（xìng）和相关事项，以（yǐ）便在他们的日常工作中支持组织的安全方针；制定安（ān）全事故或故障的反（fǎn）应程（chéng）序，减少由安全事（shì）故（gù）和（hé）故障（zhàng）造成的损失，监控安全（quán）事件（jiàn）并从这种事（shì）件中吸取（qǔ）教训； 

· 实（shí）物与环境安全：确（què）定安全区域，防止非授权（quán）访问、破（pò）坏、干扰商（shāng）务场所和信息；通过保障设备（bèi）安全，防止资产的丢失、破坏、资（zī）产危害及商务活动的中（zhōng）断；采用通用的控制方式，防止信（xìn）息或（huò）信息处理设施损（sǔn）坏或（huò）失窃； 

· 通信和操作方式（shì）管理：明确操（cāo）作程序及其（qí）责任，确保信息（xī）处（chù）理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持（chí）软件和信息的完整性（xìng）；加强内务管理（lǐ）以保持信息处理和（hé）通（tōng）讯服务的完整性和有效性通过 ; 加强网（wǎng）络管理确（què）保网络中的信息安全及其（qí）辅助（zhù）设施受到保（bǎo）护；通过保护媒体处理的（de）安全（quán） , 防止资产损坏和商务活动的中断；加强信息和软件的（de）交换的管（guǎn）理（lǐ），防止（zhǐ）组织间在交换（huàn）信息时（shí）发生丢失（shī）、更改和误（wù）用； 

· 访问控制：按照（zhào）访问控（kòng）制的商务要求，控（kòng）制（zhì）信息访问；加强（qiáng）用户访问管理（lǐ），防止非授权访问信息（xī）系统；明确用户（hù）职责，防止（zhǐ）非（fēi）授（shòu）权（quán）的用户访（fǎng）问；加（jiā）强网（wǎng）络（luò）访（fǎng）问控制（zhì），保护网络服（fú）务程序；加强操作系统访问（wèn）控制 , 防止非授权（quán）的（de）计算机（jī）访问；加强应（yīng）用访问控（kòng）制，防止非授权访问系（xì）统中的信息；通过监控系统的访问与使用，监测非授（shòu）权（quán）行为；在移动式计算（suàn）和电（diàn）传工作方面 , 确保使用移动式（shì）计算和电传（chuán）工（gōng）作设施的信息安全； 

· 系统开发与（yǔ）维（wéi）护：明确系统安全要（yào）求，确保安（ān）全（quán）性（xìng）已构成信息（xī）系（xì）统的一部份；加强应用系统的安全，防止应用（yòng）系统用户数据的丢失、被修改或误用；加（jiā）强密码技术（shù）控制，保护信息的保密性、可靠（kào）性或完整性；加强系统文件（jiàn）的安（ān）全，确（què）保 IT 方案及其支持活动以安（ān）全的方式进行（háng）；加强开发（fā）和支持过（guò）程（chéng）的安全，确保应（yīng）用系（xì）统软件和信息（xī）的安（ān）全； 

· 商务（wù）连（lián）续性管理：防止商（shāng）务活动（dòng）的中断及保（bǎo）护关键商（shāng）务过程（chéng）不受重（chóng）大失误或灾难（nán）事（shì）故的影响； 

· 符合：符合法律法规要求，避免刑法、民法、有关法令法规或合同（tóng）约定事（shì）宜及其他安全（quán）要求的规定相抵触（chù）；加（jiā）强（qiáng）安全（quán）方针和技术符（fú）合性评审，确保体系按照组织的安全方针（zhēn）及标准执行（háng）；系统审（shěn）核考虑因（yīn）素，使效果较大化 , 并（bìng）使系统审核过程的影响较小化（huà）。 　 

在（zài）国际标准 ISO/IEC17799 给出了为（wéi）实现信息（xī）安全认（rèn）证所需的各项措施（shī）的详细指导，具有很强的可操作性（xìng）和（hé）指（zhǐ）导性。

归根结底，信息安（ān）全工作的目的就（jiù）是（shì）在法律、法规（guī）、政策的支持与指导下，通过（guò）采用合适（shì）的安全技术与安全管理措施，提供（gòng）安全需求的保证，而 BS7799 信息（xī）安（ān）全认证（zhèng）标准正是总（zǒng）和了这些要求。组（zǔ）织（zhī）可（kě）以根据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信（xìn）息安全的要求（qiú）。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全（quán）管理（lǐ）体系要求》是关于（yú）信息安全管理的标准，是标（biāo）准不是方法，达到这些标准的要求并不难，重要的是用什么（me）方法去实现。企业应将（jiāng）实（shí）施（shī）标准作为（wéi）改善内部管理的一次机（jī）会，不应该将（jiāng）标准做为一种简单的模式（shì）对现（xiàn）有流程运（yùn）作进行套用（yòng），应对现有的（de）组织运作（zuò）流程（chéng）进行详细分析，有针对（duì）性地（dì）设计并改善现有管理体系、改善（shàn）薄弱环节、改善运作流程及内部沟通，并（bìng）有（yǒu）效地将好的管理（lǐ）思想融合（hé）到（dào）具体的实施程序中（zhōng），才能发挥（huī）标准的真正作用（yòng）。

获（huò）得认（rèn）证（zhèng）证书不是zui终目的，建（jiàn）立有责、有序、有效的信息安全管理体系，提（tí）高员（yuán）工（gōng）的（de）信息安全（quán）意识，不断获取并运用好的管（guǎn）理方法和技术手段才能使企业的信息安全管理水平得以持续的发展（zhǎn）和提升。