BS7799-2：2002信（xìn）息安（ān）全管理体系规范向（xiàng）组织提（tí）出了一系列认证的（de）要求，在总则中提出组织（zhī）应建立并保持一（yī）个文件化的信息安全管理体（tǐ）系，阐述（shù）被保（bǎo）护的资产、组织风险（xiǎn）管理的渠（qú）道、控制目标及控制方式和需（xū）要的（de）保（bǎo）证等级；通过建立管理架构并加以（yǐ）实施来达（dá）到识（shí）别（bié）控制目标和（hé）控制方（fāng）式，并形成文件和记录。

BS7799-2：2002的（de）控制细则包括10个方面： 　

· 安（ān）全（quán）方针：为信息安全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全架构，保证组织的内（nèi）部管理；被第三方访（fǎng）问或外协时，保障组织的信息安全； 

· 资产的归类与控制：明确资产责任，保持对组织资产的适当保护（hù）；将信息进行归类，确保信息资产受到适当（dāng）程度（dù）的保护（hù）； 

· 人员安全：在工作说明和资源方面，减（jiǎn）少因人为错误、盗窃、欺诈和设施（shī）误用造成的风险（xiǎn）；加（jiā）强用户培训（xùn），确保用户清楚知道（dào）信（xìn）息（xī）安全的危险性和相关事项，以便在他们的日常工作中支（zhī）持组织的（de）安全方（fāng）针；制（zhì）定安全事故或（huò）故障的反应（yīng）程序，减少由（yóu）安全事故和故障造成的损失（shī），监控（kòng）安全事件并从这（zhè）种（zhǒng）事件（jiàn）中吸取教训（xùn）； 

· 实（shí）物与（yǔ）环境安（ān）全：确定安（ān）全区域（yù），防止非授权（quán）访问、破坏、干扰商务（wù）场所和信息（xī）；通过保（bǎo）障设备安全，防止资产的丢失（shī）、破坏（huài）、资产危（wēi）害及商务活（huó）动的中（zhōng）断；采用通用的控制方式，防（fáng）止信息或信息处理设施损坏或失（shī）窃； 

· 通信和（hé）操作方式管理：明确操作程（chéng）序及其责任，确保（bǎo）信息处理设施的正（zhèng）确、安（ān）全操作；加强系统策划与验收，减少系统失效（xiào）风险（xiǎn）；防范（fàn）恶意软件以保持软件和信息（xī）的完整性；加强内务（wù）管（guǎn）理（lǐ）以（yǐ）保持（chí）信息处理和通讯服务（wù）的完整性和（hé）有效性通过 ; 加强网络管理（lǐ）确保网络中的信息安全及其（qí）辅助设（shè）施受（shòu）到（dào）保护；通过保护媒体处理的安全 , 防止（zhǐ）资产损坏和商务活动的中断；加强信息和（hé）软（ruǎn）件的交换（huàn）的管（guǎn）理，防止组织间在交换信息时发生丢失、更（gèng）改和（hé）误用（yòng）； 

· 访（fǎng）问控制：按照访问（wèn）控制的商务要求（qiú），控制（zhì）信息访问；加（jiā）强用户（hù）访问管理，防（fáng）止非授权访问（wèn）信息系统；明确（què）用户职责（zé），防（fáng）止非授（shòu）权的用户访问（wèn）；加（jiā）强网络访问（wèn）控（kòng）制，保护网络服（fú）务程序；加强操（cāo）作系（xì）统（tǒng）访问控制 , 防止非授（shòu）权的计（jì）算机访问；加（jiā）强应用访问控制（zhì），防止非授权（quán）访问系统中的信息；通过监（jiān）控系（xì）统的访问与（yǔ）使（shǐ）用，监（jiān）测非授（shòu）权行为；在移动式计算和电传工作（zuò）方面 , 确保使用移动（dòng）式计算和电传（chuán）工作设施的信息安全； 

· 系统开发与（yǔ）维护：明确系统安（ān）全要求，确（què）保安全（quán）性已构成信息系统的一部份；加强应（yīng）用系统的安全，防止应用（yòng）系（xì）统用（yòng）户数（shù）据的丢失、被修改或误用（yòng）；加强密码技术控制，保护信息（xī）的保密（mì）性、可靠性或完整性；加强系统文件的安全，确保 IT 方案及其支持（chí）活动以安全的方式进行；加强开（kāi）发（fā）和支持过程的安（ān）全，确保应用系统软件和信息（xī）的（de）安全； 

· 商务连（lián）续（xù）性管理：防止商务（wù）活动的中断及保护关（guān）键（jiàn）商（shāng）务过程不受重大（dà）失误或灾难事故（gù）的影响； 

· 符合：符合法律法规要求，避免（miǎn）刑法、民法（fǎ）、有关法令法规或合同（tóng）约定事（shì）宜及（jí）其他安全要求的规定相抵触；加强安全（quán）方针（zhēn）和技术符合性评审，确保（bǎo）体系按照组织的安全方针及标（biāo）准执行；系统审核（hé）考虑（lǜ）因素，使效果较大化 , 并使系统审（shěn）核过程的影响较小（xiǎo）化。 　 

在（zài）国际标准 ISO/IEC17799 给出了为实现信息安全认（rèn）证所需的各（gè）项措施的详细指导，具有很强的可操作性和指导性。

归根结底（dǐ），信息安全工作（zuò）的目的就是在法律、法规（guī）、政策的支持与指导下，通过采用合适的安全技术与（yǔ）安全管（guǎn）理（lǐ）措施，提供安全需求的保证，而 BS7799 信息安全认证标（biāo）准正是总和了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息（xī）安（ān）全管理（lǐ）体系要求》是关于信息安全管理的标准，是（shì）标（biāo）准（zhǔn）不（bú）是方（fāng）法，达到这（zhè）些标准的（de）要求（qiú）并不难，重要的是用什么方法去实现（xiàn）。企业应将（jiāng）实施（shī）标准作为改（gǎi）善内部管理的一次机会，不应该将标准做为（wéi）一种简单的模式（shì）对现有流程运作进（jìn）行套（tào）用，应对现有的组织（zhī）运作流程进（jìn）行详细分（fèn）析，有针（zhēn）对性地设计并改善现（xiàn）有管理体系、改善薄弱环节、改善运作流程及内部沟通，并有（yǒu）效地将好的管理思（sī）想融合到具体的实施程序中，才能（néng）发挥标准的真正作用。

获得认证（zhèng）证书不是zui终目的，建立有责、有序、有（yǒu）效的（de）信息安全管理体系，提高（gāo）员工的信息安全（quán）意识，不断（duàn）获取并运用好（hǎo）的（de）管理方（fāng）法和（hé）技（jì）术手段才能使企业的（de）信息安全（quán）管理水平得以持（chí）续的（de）发展和提升（shēng）。