BS7799-2：2002信（xìn）息安（ān）全管（guǎn）理体系规范向组（zǔ）织提出了一系列认证的要求，在总则中提出组织应建立（lì）并保持（chí）一个文件化（huà）的信息安全管理体系，阐述被保护的资产、组（zǔ）织风险管（guǎn）理（lǐ）的渠道、控制目标及控制方式和需（xū）要的保（bǎo）证等级；通（tōng）过建立管理架构并加（jiā）以实施来达（dá）到识别（bié）控（kòng）制目标（biāo）和控制方式，并形成（chéng）文件（jiàn）和记录。

BS7799-2：2002的控制细则包括10个方（fāng）面： 　

· 安全方针：为信（xìn）息安全提（tí）供管理指（zhǐ）导和支持； 

· 组织安全：建（jiàn）立信（xìn）息安全架构，保证组织（zhī）的内部管理（lǐ）；被第三方访问或外协时，保障（zhàng）组织的信（xìn）息安全； 

· 资产的（de）归类与控制（zhì）：明确资产责任，保（bǎo）持对（duì）组织资产的（de）适（shì）当保（bǎo）护（hù）；将信息进行归类，确（què）保信（xìn）息资（zī）产（chǎn）受到适当程（chéng）度的（de）保护； 

· 人员安全：在工作说明和（hé）资源（yuán）方面，减少因人为（wéi）错误、盗（dào）窃、欺诈和设施误用造成的（de）风（fēng）险（xiǎn）；加强用户培训，确保用户（hù）清楚知（zhī）道信息安全的危（wēi）险性（xìng）和相关事项，以便在（zài）他们（men）的日常工作中支持（chí）组织的安全方针；制定安全事故或故障（zhàng）的反应程（chéng）序，减少由安全事故（gù）和故障造成（chéng）的损失，监控（kòng）安（ān）全事（shì）件并从这（zhè）种事件（jiàn）中吸取教训； 

· 实物（wù）与环境安全：确（què）定安全区（qū）域，防止非授权访（fǎng）问、破坏、干扰商务场所和信息；通过保障设备安（ān）全，防止资产的丢失（shī）、破坏、资（zī）产危害及商务活动的中断；采用（yòng）通（tōng）用的（de）控制（zhì）方式，防止信（xìn）息或信息处理设（shè）施损坏或（huò）失窃（qiè）； 

· 通信和操作方（fāng）式管理：明确操作程序及其责任，确保信（xìn）息处（chù）理设施（shī）的正确、安全（quán）操作；加强系统（tǒng）策划与验收，减（jiǎn）少系统（tǒng）失效风险；防范恶（è）意软件以（yǐ）保持软件和信息的完整性；加强（qiáng）内务管理以保持信息处理和通讯（xùn）服务的完整（zhěng）性和有效性通过 ; 加强网络管理确保网络中（zhōng）的信息安全及其辅（fǔ）助设施受到保护；通过保护媒体处（chù）理的安全 , 防（fáng）止资产（chǎn）损坏和商务（wù）活动的中断；加强信息和软件的交换的管（guǎn）理，防止组织间（jiān）在（zài）交换信息（xī）时（shí）发生丢失、更改和误用； 

· 访（fǎng）问控制：按照（zhào）访问控制的商务要求，控（kòng）制信息访问；加强用（yòng）户访问管理，防止非授（shòu）权（quán）访问信（xìn）息系统；明确（què）用户职责，防止（zhǐ）非授权的用户（hù）访问；加（jiā）强网络访问（wèn）控制，保（bǎo）护网（wǎng）络服务程序；加（jiā）强操作系统访问控制 , 防止非授权的计算机（jī）访问；加（jiā）强（qiáng）应用访（fǎng）问控制，防止非授（shòu）权访问系统中的信（xìn）息；通过监控系统的访问与使用（yòng），监测（cè）非授权行为；在移动式（shì）计算（suàn）和（hé）电传工（gōng）作方面 , 确保使用（yòng）移动式计算和电传工作设施的信（xìn）息安（ān）全； 

· 系统开（kāi）发与维护：明确系统（tǒng）安全要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止（zhǐ）应用系统用户数据的丢失、被修改或（huò）误用；加强密码（mǎ）技术控制，保护信息的保密性（xìng）、可靠性或完整（zhěng）性；加强系（xì）统文件的安全（quán），确保 IT 方案及（jí）其支（zhī）持（chí）活动（dòng）以安（ān）全的方式（shì）进行；加强开（kāi）发和（hé）支持过程的安全，确保应用系统软件和信（xìn）息（xī）的安全（quán）； 

· 商务连（lián）续性管（guǎn）理：防止（zhǐ）商务活动的中断及保护关键商务过（guò）程不（bú）受重大失误或（huò）灾难事故的影响； 

· 符合：符合法（fǎ）律法规（guī）要求，避免刑法、民法、有关（guān）法（fǎ）令法规或合同约（yuē）定事宜及其他安全要（yào）求的（de）规定相抵触；加强安全方针和技术（shù）符合性评审（shěn），确保体系按（àn）照组（zǔ）织（zhī）的安全方针及（jí）标（biāo）准执（zhí）行；系统审核（hé）考虑因（yīn）素，使效果较（jiào）大化 , 并使系统审核过程的影响较（jiào）小化。 　 

在国际标（biāo）准（zhǔn） ISO/IEC17799 给出了为实（shí）现信息安全（quán）认证（zhèng）所需的各项措施的详细指（zhǐ）导，具有很（hěn）强的可操作性和指导（dǎo）性（xìng）。

归根结底（dǐ），信（xìn）息安全工作的目（mù）的（de）就是在法律、法（fǎ）规、政策（cè）的（de）支持与指导下（xià），通过采用合适的安全（quán）技术与安全管理措施，提（tí）供安全需求的保证，而 BS7799 信息安全（quán）认证标准正（zhèng）是（shì）总（zǒng）和了这些要求（qiú）。组织可（kě）以根（gēn）据自（zì）身特（tè）点，在 ISO/IEC 17799 指导下（xià），实现信息安全的要（yào）求。

 ISO27001：2005 《信息安全管理体（tǐ）系（xì）要求》

 ISO27001 ： 2005 《信（xìn）息安全（quán）管理体系要（yào）求》是关（guān）于信息安全管理的标准，是标准不是方法，达（dá）到这些标准的要求并（bìng）不（bú）难，重（chóng）要的是用什（shí）么方法（fǎ）去实（shí）现（xiàn）。企业应将实施（shī）标准作为（wéi）改善内部管理的（de）一次机会，不应该将标准做（zuò）为一（yī）种简单的模式（shì）对（duì）现（xiàn）有流程运作进行套用，应对现有的组织运作流程进行详细（xì）分析，有针对性地设计并改善现有管理体系、改善薄（báo）弱环节、改善（shàn）运（yùn）作（zuò）流程及内部沟通，并有效地（dì）将好的管理思想融合到具体（tǐ）的（de）实施（shī）程序中，才能发挥（huī）标准（zhǔn）的真正作用（yòng）。

获得认证证书不是（shì）zui终目（mù）的，建立有责、有序、有效的信（xìn）息安全管（guǎn）理体系（xì），提高员工的信息安全意（yì）识，不（bú）断获（huò）取并运用好的管理方法（fǎ）和技术（shù）手段才能使企业的信息安全管理水平得以持续的发展和提升（shēng）。