BS7799-2：2002信息安全管理（lǐ）体系规范向组织提出了一系列认证的要求（qiú），在总则中提出组织应（yīng）建立并保（bǎo）持（chí）一个文件化的信息安全管理体（tǐ）系，阐述被（bèi）保护的（de）资产、组织风险管理的渠（qú）道、控（kòng）制目（mù）标及控制方（fāng）式和（hé）需要的保证等级；通过建立管理架构并加以实施（shī）来达（dá）到（dào）识别控制目（mù）标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安（ān）全方针：为信息安全提供管（guǎn）理指导和支（zhī）持； 

· 组（zǔ）织安全：建（jiàn）立信息安全架（jià）构，保证组（zǔ）织的（de）内（nèi）部（bù）管理（lǐ）；被第三方访（fǎng）问或外协时，保障（zhàng）组织的信息安全； 

· 资（zī）产的归类与控制：明确资产（chǎn）责任，保（bǎo）持对（duì）组织资产的适（shì）当保护；将（jiāng）信息（xī）进行归类，确（què）保信息（xī）资产受到（dào）适当程度（dù）的（de）保护； 

· 人员安全：在（zài）工作（zuò）说（shuō）明和资（zī）源方面，减少因人为错误（wù）、盗窃、欺诈和设施误用造成（chéng）的风（fēng）险；加强用户培（péi）训，确（què）保用户清楚知道（dào）信息（xī）安全的（de）危险性（xìng）和相关事项，以（yǐ）便在他们的日常工作中支持组织的安全方（fāng）针；制定安全（quán）事故或故障（zhàng）的反应程（chéng）序，减少由安全事故和故障造成（chéng）的损失，监控安全（quán）事件并从这种事件中吸取教训； 

· 实物与（yǔ）环境安全（quán）：确定安（ān）全区域，防（fáng）止非授（shòu）权访（fǎng）问、破坏、干扰商务（wù）场所和信息；通过保障设备安全，防止资产的（de）丢失、破（pò）坏（huài）、资产危害及商（shāng）务（wù）活动的（de）中断；采用通用的控制方（fāng）式，防止信息或信息处理（lǐ）设施损坏或失（shī）窃； 

· 通（tōng）信（xìn）和操作方式管理：明（míng）确操作（zuò）程序及其责任，确（què）保信息处理设施（shī）的（de）正确、安全操作；加强系统策划与验（yàn）收，减少系统失效风险；防范恶意（yì）软件以保持（chí）软件和（hé）信息的完整性；加强内务管理以（yǐ）保持信息处理（lǐ）和（hé）通讯服（fú）务（wù）的（de）完整性（xìng）和有效性通过 ; 加强（qiáng）网（wǎng）络（luò）管理确保网络中的信息安全及其辅助设施（shī）受到保护；通过保护（hù）媒体处理的安全（quán） , 防止资（zī）产损坏和商务（wù）活动的中断；加强（qiáng）信息和软件的（de）交换（huàn）的管理（lǐ），防止（zhǐ）组织间在交换信息时发生（shēng）丢失、更改和误用（yòng）； 

· 访问控制：按照访问（wèn）控制的商务要求，控制信息访问；加强用户访（fǎng）问管理，防（fáng）止非（fēi）授权访问信（xìn）息系统；明确用户职（zhí）责，防止（zhǐ）非授（shòu）权（quán）的用户访问（wèn）；加强（qiáng）网络访（fǎng）问控（kòng）制（zhì），保护网络（luò）服务程（chéng）序（xù）；加强操作系统访问控制 , 防（fáng）止非授（shòu）权（quán）的计（jì）算机访问；加（jiā）强应用访问控制，防止非授（shòu）权访问系统中的信息；通（tōng）过监控系统的访问与使用，监测非授权行（háng）为；在移动式计（jì）算和（hé）电（diàn）传（chuán）工（gōng）作方面 , 确保使用移动式计算和电传工作设施的（de）信息安全（quán）； 

· 系统开（kāi）发（fā）与维（wéi）护：明确系统安（ān）全要（yào）求，确保安全性已（yǐ）构成信息系统的（de）一部份（fèn）；加强应用系（xì）统的安全（quán），防止应（yīng）用系统用户数（shù）据的丢失（shī）、被修（xiū）改或误（wù）用；加（jiā）强密码技术控制，保护信息（xī）的保密性、可靠（kào）性或完整性；加强系统文件的（de）安全，确保 IT 方案及其（qí）支持活动（dòng）以安全的（de）方式进行；加强开发（fā）和支持（chí）过程的（de）安全，确保应用系统（tǒng）软件和信息的（de）安全； 

· 商务连续性管理：防止商务活动（dòng）的中断及保护（hù）关键商务过程（chéng）不受（shòu）重大失误（wù）或灾难（nán）事故的影响； 

· 符合：符合法律法规要求，避（bì）免刑（xíng）法、民法（fǎ）、有（yǒu）关法（fǎ）令法（fǎ）规或合同约定事宜及其他安全要求的规定相抵触；加强（qiáng）安全方（fāng）针和技术（shù）符合性评（píng）审（shěn），确保（bǎo）体系按照（zhào）组织的安全方（fāng）针及标准执行（háng）；系统审（shěn）核考虑（lǜ）因素，使效果较大化 , 并使系统（tǒng）审核（hé）过（guò）程的影（yǐng）响较小（xiǎo）化。 　 

在（zài）国际标准 ISO/IEC17799 给出了（le）为实现信息（xī）安全认证所需的各项措施（shī）的详细指导，具有很（hěn）强的（de）可操作性和指导性。

归（guī）根结底（dǐ），信（xìn）息安全工（gōng）作（zuò）的目的就是在法律、法规（guī）、政（zhèng）策（cè）的（de）支持与指导下，通过采（cǎi）用合（hé）适的安全技术与安全管理措施，提供安全需（xū）求的（de）保证，而 BS7799 信息安（ān）全认证标准正是总（zǒng）和（hé）了（le）这些要求。组（zǔ）织可以根（gēn）据自身特点，在 ISO/IEC 17799 指（zhǐ）导（dǎo）下，实现信息（xī）安全的要求。

 ISO27001：2005 《信息安（ān）全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系（xì）要求》是关（guān）于信息安全（quán）管理的标准，是标准（zhǔn）不是方法（fǎ），达到这（zhè）些标准的要求并不难，重（chóng）要的是用什（shí）么方（fāng）法去实现（xiàn）。企（qǐ）业应将（jiāng）实（shí）施标准作为改善（shàn）内部管理的一次（cì）机会，不应该将标（biāo）准做为一种简单（dān）的模式（shì）对现有流程运作进行套（tào）用，应对（duì）现有的组织运作（zuò）流程进（jìn）行（háng）详细分析（xī），有针对性地设计（jì）并改善现有管（guǎn）理体系、改善薄弱（ruò）环节、改善运作（zuò）流程及内部沟通，并有效地将好的管（guǎn）理思想融合到具体（tǐ）的实施程序（xù）中（zhōng），才能发挥（huī）标准的真正作用。

获得认证证书不是zui终目的，建（jiàn）立（lì）有责、有序、有效的信息安全管理体系，提高（gāo）员工的信息安全意识，不断（duàn）获（huò）取并运用好的管理方（fāng）法和技术手段才能使（shǐ）企业的信息安全（quán）管理（lǐ）水平得以持续的发展和提升。