BS7799-2：2002信（xìn）息安全管理体（tǐ）系规范（fàn）向组织提出了一系列认（rèn）证的要求（qiú），在总则中提（tí）出组织应建立（lì）并（bìng）保持一（yī）个（gè）文件化（huà）的信息安全管理体系，阐述被保护的资产（chǎn）、组织风险管理的（de）渠道（dào）、控制目标及控制方式和需要的保（bǎo）证等级；通过建立管理架构并加以实施来达到识别（bié）控制（zhì）目标（biāo）和控制方式，并形成文（wén）件和记录。

BS7799-2：2002的控（kòng）制细则（zé）包括10个方面： 　

· 安全方针：为信息安全提供管理指（zhǐ）导和支持； 

· 组织安全：建（jiàn）立信息（xī）安全架构，保证组织的内部（bù）管理；被（bèi）第三方访问（wèn）或外协时，保障组织（zhī）的信息安全； 

· 资产的（de）归类（lèi）与（yǔ）控制：明确资产责任，保持对组织资产的适当保护；将信息（xī）进行归类，确保信息资产受到适（shì）当程度的保护； 

· 人员安（ān）全：在工作说明和资（zī）源（yuán）方面，减少因人为错误、盗窃、欺（qī）诈和（hé）设施误用造成的风险；加强用户培训，确保（bǎo）用户（hù）清楚知道信息安全（quán）的危（wēi）险性（xìng）和相关（guān）事（shì）项（xiàng），以便在他们的（de）日常工作中支持组织的（de）安全方针；制定安全事故（gù）或故障的（de）反应（yīng）程序，减少由（yóu）安全事故和（hé）故障造成的损失，监控安全事件并从这种事件中吸（xī）取教训（xùn）； 

· 实物与环境安全（quán）：确定安全区域，防止非授权访问、破坏（huài）、干扰商务场所和信息；通（tōng）过保障设（shè）备（bèi）安全（quán），防止资（zī）产的丢失（shī）、破坏、资产危害及（jí）商务（wù）活动的中（zhōng）断（duàn）；采用通用的控制方式，防止信息（xī）或信（xìn）息处理（lǐ）设（shè）施损坏或（huò）失（shī）窃（qiè）； 

· 通信和操作（zuò）方式管理：明确操作程序（xù）及其（qí）责（zé）任（rèn），确保信息处（chù）理设施（shī）的正确、安（ān）全操作（zuò）；加强系（xì）统策划与（yǔ）验收（shōu），减少系统（tǒng）失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和（hé）通讯服务（wù）的完整（zhěng）性（xìng）和有（yǒu）效（xiào）性（xìng）通过 ; 加强网络（luò）管理确保（bǎo）网络中的信息（xī）安全及其辅助设施受（shòu）到保护；通过（guò）保护媒体处理的安全 , 防止资产损坏和商务活动的中断；加强信息和软件的（de）交换的管理（lǐ），防（fáng）止组织（zhī）间在交换（huàn）信息时发生（shēng）丢失、更改和误用； 

· 访问控制：按照访（fǎng）问（wèn）控制的（de）商（shāng）务要求（qiú），控制（zhì）信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授（shòu）权（quán）的用户访问；加（jiā）强网络访问控制（zhì），保护网（wǎng）络服务程（chéng）序；加强操（cāo）作（zuò）系统访问控制 , 防止非授权的计算机访问；加强应用访问（wèn）控制，防止非（fēi）授（shòu）权访问系（xì）统中的信息；通过监控系统（tǒng）的访问与（yǔ）使用（yòng），监测非授权行为；在移动式计算和电传（chuán）工作方面 , 确保（bǎo）使用移动式（shì）计算和电传（chuán）工作设施（shī）的信息安全； 

· 系统开发与（yǔ）维（wéi）护：明确（què）系统安全要求，确（què）保（bǎo）安全性已构（gòu）成信息系统（tǒng）的一部份；加强应用系统的安全，防止应用系统用户（hù）数据的丢失、被修（xiū）改或误用；加强密码技（jì）术控制（zhì），保护信（xìn）息的保密（mì）性、可（kě）靠性或完整性；加强系统文件的安全，确保 IT 方（fāng）案及其（qí）支持活动以安全的方式进行（háng）；加（jiā）强开发和支持过程的安全，确保应用系统（tǒng）软件和信息的安全（quán）； 

· 商务（wù）连续性管理：防止（zhǐ）商（shāng）务活（huó）动（dòng）的（de）中断及保护关键商务过程不受重大失误（wù）或灾难事故的影响； 

· 符合：符合法律法规要求，避免刑法、民法（fǎ）、有关法令法规或合（hé）同约定事宜（yí）及其他安全（quán）要求（qiú）的规定相抵触（chù）；加强安全方针和技术符合（hé）性评审，确保体系按照组织的安全（quán）方针及（jí）标准执行；系统（tǒng）审核考虑（lǜ）因素，使效果（guǒ）较（jiào）大（dà）化 , 并使系统审核（hé）过程的（de）影响较小化。 　 

在国际（jì）标（biāo）准 ISO/IEC17799 给出了（le）为实现信息（xī）安全认证所需的各项措施的详（xiáng）细指导，具有很强的可操作性和指导性。

归根结底，信息安全工作的目（mù）的（de）就（jiù）是在法（fǎ）律、法规、政策的支持与（yǔ）指导（dǎo）下，通过采用（yòng）合适（shì）的安全技术与安（ān）全管理措（cuò）施，提供安全需求的保证，而 BS7799 信息安（ān）全认证标准正（zhèng）是总和了这（zhè）些要求。组（zǔ）织可以根据自（zì）身（shēn）特点（diǎn），在 ISO/IEC 17799 指（zhǐ）导下，实现信息安全（quán）的要（yào）求（qiú）。

 ISO27001：2005 《信息安全（quán）管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安全管（guǎn）理体系要求》是（shì）关于信（xìn）息安全管理的标（biāo）准，是标准不是方法，达到这些标准的要求（qiú）并不难，重要的是用什么方法去实现。企业应将实施（shī）标准作为改善内部管理的（de）一次机会，不应该将标准做为（wéi）一种简单的模式对现有（yǒu）流程运作进（jìn）行套用，应（yīng）对现有的组（zǔ）织运作（zuò）流程进行详细分析，有针（zhēn）对性地设计并改（gǎi）善（shàn）现（xiàn）有管（guǎn）理（lǐ）体系、改善薄弱环节、改善运作流程及（jí）内部沟通，并有效地将（jiāng）好（hǎo）的管（guǎn）理思想融合到（dào）具体的（de）实施（shī）程（chéng）序中，才能发挥标准的（de）真正作用。

获得认证证书不（bú）是zui终目（mù）的，建立有责、有序（xù）、有效的（de）信息安（ān）全管理体系，提高员工的信息（xī）安全意识，不断获取并运用好的管（guǎn）理方法（fǎ）和技术手段才能使（shǐ）企业（yè）的信息安全（quán）管（guǎn）理水平得以（yǐ）持续的（de）发展和提升。