BS7799-2：2002信息安全管理体（tǐ）系规范向组织提出了一系列（liè）认（rèn）证的要求，在总（zǒng）则中提出组织应建立并保持一个文件化的信息安全管（guǎn）理体系，阐述被保护的资产、组织风（fēng）险（xiǎn）管理的渠（qú）道、控制（zhì）目（mù）标及控制（zhì）方（fāng）式和需要的保证等级；通（tōng）过建立管理架构并（bìng）加以（yǐ）实（shí）施来达（dá）到识别控制目标和控制方式，并（bìng）形成（chéng）文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全（quán）方针：为（wéi）信息安全提供管理指导（dǎo）和（hé）支持（chí）； 

· 组（zǔ）织安全：建立信息安（ān）全（quán）架构，保证组织的内部管理；被第三方（fāng）访问或外协时，保障组织的信息安全； 

· 资产的（de）归（guī）类与控制：明确资产责任，保（bǎo）持对组织（zhī）资产的适（shì）当保（bǎo）护；将信（xìn）息进行归类（lèi），确保（bǎo）信息资产（chǎn）受到适当程度的保（bǎo）护； 

· 人员安全：在（zài）工作说明（míng）和（hé）资源方面，减少因人为错误、盗（dào）窃、欺诈和（hé）设施误（wù）用造成的风险；加强用户培训，确保用户清楚知（zhī）道信息安全的危险性和相关事项（xiàng），以便在他们的日常（cháng）工作（zuò）中支（zhī）持组织的安全方针；制定（dìng）安全事故或故障的反（fǎn）应程序，减少由安全事故和故（gù）障造成的损（sǔn）失，监控安全（quán）事（shì）件并从这（zhè）种事件中（zhōng）吸取（qǔ）教（jiāo）训； 

· 实物（wù）与环境安全：确（què）定安全（quán）区域，防止非授权访（fǎng）问（wèn）、破坏、干扰（rǎo）商务（wù）场所和信息；通过保障设备安全，防（fáng）止（zhǐ）资（zī）产的（de）丢（diū）失（shī）、破坏、资产（chǎn）危（wēi）害及商务活动的中（zhōng）断；采用通（tōng）用的控（kòng）制方式，防止信息或（huò）信息处（chù）理设施损坏或失窃； 

· 通（tōng）信和操作（zuò）方式管（guǎn）理：明确操作程序及其责任（rèn），确保信（xìn）息处理设施的正（zhèng）确、安（ān）全操（cāo）作；加强系统策划与验收，减少系统失效（xiào）风（fēng）险；防范恶意软件以保（bǎo）持软（ruǎn）件和信息的（de）完整（zhěng）性（xìng）；加强内务管理以保持（chí）信息处（chù）理和通讯服务（wù）的完整性和（hé）有效性通（tōng）过 ; 加强网（wǎng）络（luò）管理确保网络中的信息安（ān）全及（jí）其（qí）辅助设施受到保护；通过保护媒体处理（lǐ）的安全（quán） , 防止资产损坏（huài）和（hé）商务活动的（de）中断；加（jiā）强信息和软件的（de）交换的管理，防止（zhǐ）组织间（jiān）在（zài）交换（huàn）信息时发生丢失、更（gèng）改和（hé）误用； 

· 访问（wèn）控制：按照访问控制的商务要（yào）求，控制信息访问；加强用户访问管理，防止非（fēi）授（shòu）权访问信息系统（tǒng）；明确用（yòng）户职责，防止非授权的（de）用户访问；加强网络访问控制，保（bǎo）护网络（luò）服务程序；加强操作系（xì）统访问控制 , 防（fáng）止（zhǐ）非授权的计算机（jī）访问；加强应（yīng）用访问（wèn）控（kòng）制（zhì），防止（zhǐ）非授权访问系统（tǒng）中的信息；通过监控系统的访问与使用，监（jiān）测非授权行为；在移动式（shì）计算和（hé）电传工作方面 , 确保（bǎo）使用移动式计算和（hé）电传（chuán）工（gōng）作设施的信息安全； 

· 系统开发（fā）与维护：明（míng）确系统安全（quán）要求，确保安全性已构成信息系统（tǒng）的一部（bù）份；加（jiā）强应用（yòng）系统的安全，防止应用系统用（yòng）户（hù）数据的丢失、被（bèi）修改（gǎi）或误用；加强密码（mǎ）技（jì）术控制，保（bǎo）护信息的保（bǎo）密（mì）性（xìng）、可靠（kào）性或完整性；加强系统（tǒng）文件的（de）安全，确保（bǎo） IT 方（fāng）案及其支持（chí）活动以安全（quán）的（de）方式进行；加强开发和支持过（guò）程的安全，确保应用系统软件和（hé）信息的安全； 

· 商务连续（xù）性（xìng）管理：防止商务活动（dòng）的中断及（jí）保护关键商务（wù）过（guò）程不受重大失（shī）误或（huò）灾难事故的影响； 

· 符合：符合法律（lǜ）法规要求，避免（miǎn）刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相（xiàng）抵触；加强安全方针和技术符合性评审，确保体系按（àn）照组织的安全方（fāng）针及（jí）标准执行；系统审（shěn）核考虑因素，使效果（guǒ）较大化 , 并使（shǐ）系统审（shěn）核（hé）过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现（xiàn）信息（xī）安全（quán）认证（zhèng）所需的（de）各项措施的详细指导，具有很（hěn）强的可操作性和（hé）指导性。

归根结底（dǐ），信息安全工作的目的就是在法律、法规、政策的支持（chí）与指导下，通过（guò）采（cǎi）用合适的（de）安全技术与安全管理（lǐ）措施，提供安全需求（qiú）的保证，而 BS7799 信息（xī）安全认（rèn）证标准正是总和了这些要求。组织可以根据自身（shēn）特点，在 ISO/IEC 17799 指（zhǐ）导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体（tǐ）系（xì）要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要求》是关（guān）于信息安全（quán）管（guǎn）理的（de）标准，是标准不（bú）是方（fāng）法，达到这些标准的要求并不难，重（chóng）要的是（shì）用什（shí）么方法去实现。企业应将实施标准作为（wéi）改（gǎi）善内部管理的一（yī）次机会，不（bú）应（yīng）该将标准（zhǔn）做（zuò）为一（yī）种简单的（de）模式对（duì）现有流程运作进行套用，应对（duì）现有的组织运作流程进行详细分（fèn）析，有针对性地（dì）设计并改善现有管理体系、改（gǎi）善薄（báo）弱环节（jiē）、改（gǎi）善运作流程及内部沟（gōu）通（tōng），并有效地将好（hǎo）的管理思想融（róng）合到（dào）具（jù）体（tǐ）的实施（shī）程（chéng）序中，才能发挥（huī）标准的真正作用。

获得（dé）认证证书不是zui终目的，建立（lì）有责、有序、有效（xiào）的信息安全（quán）管理体（tǐ）系，提高员工的（de）信（xìn）息（xī）安全意（yì）识，不断获取（qǔ）并（bìng）运用好（hǎo）的（de）管理方法和技术手段才能使（shǐ）企业的信息安全管（guǎn）理水平得以（yǐ）持续（xù）的发（fā）展和提升。