BS7799-2：2002信息（xī）安全管理体系（xì）规（guī）范向组织提出了一系列（liè）认证的要（yào）求（qiú），在总则中提出组织应建立并保持一个文（wén）件化的信（xìn）息安全管理体系，阐述被保护的资（zī）产、组织风（fēng）险管理的渠（qú）道（dào）、控制目标（biāo）及控制（zhì）方式和需要的保证（zhèng）等级；通过建立管理架构（gòu）并加以实施来达（dá）到识别控（kòng）制目标和控制（zhì）方式，并形成文件（jiàn）和记录（lù）。

BS7799-2：2002的（de）控制细则包括（kuò）10个方面： 　

· 安全方针：为信息安全提供（gòng）管理指导和（hé）支持； 

· 组织（zhī）安全：建立信息安全架构，保证（zhèng）组织（zhī）的（de）内（nèi）部管（guǎn）理（lǐ）；被第三方访问或外协时（shí），保障组织的信息（xī）安全； 

· 资产的归类与（yǔ）控制：明确资产责任，保持对组（zǔ）织资产的适当保护；将（jiāng）信息进行归类，确保信息资产受到（dào）适当程度的保（bǎo）护； 

· 人（rén）员（yuán）安全：在工作说明和资源方面，减少因人为错误、盗窃（qiè）、欺诈和设施（shī）误用造成（chéng）的风（fēng）险；加强用（yòng）户培（péi）训，确保（bǎo）用户（hù）清楚知（zhī）道信（xìn）息安全的危（wēi）险性和（hé）相（xiàng）关（guān）事项（xiàng），以便在他们（men）的日常工作中（zhōng）支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事（shì）件并从这种事件中（zhōng）吸（xī）取教训（xùn）； 

· 实物与环境安（ān）全：确定安全区域（yù），防止（zhǐ）非授（shòu）权访问（wèn）、破（pò）坏、干（gàn）扰商务场（chǎng）所和信息；通过保障设（shè）备（bèi）安全，防止资产的丢（diū）失、破（pò）坏（huài）、资产危害及（jí）商务活动的中断；采用通用的控（kòng）制方式，防止（zhǐ）信息（xī）或信息处理（lǐ）设施损坏（huài）或失窃； 

· 通信（xìn）和操作方式管理：明确操作（zuò）程序及其责任，确保信息处理设（shè）施的正确、安全操作；加（jiā）强系统策划（huá）与验（yàn）收（shōu），减少系（xì）统失效风险（xiǎn）；防（fáng）范恶意软件以保持（chí）软件（jiàn）和信息的（de）完整性；加强内（nèi）务管（guǎn）理以保持信（xìn）息处理和通讯服务的（de）完整性和有（yǒu）效性通过 ; 加强网络管理确保网络中（zhōng）的信（xìn）息（xī）安全及（jí）其辅（fǔ）助设施受到保护；通过（guò）保护媒体处理的安全 , 防止资产损坏和（hé）商（shāng）务活动的中断；加强信（xìn）息和软件的交换的（de）管理，防（fáng）止组（zǔ）织间在交换信息时发生丢失（shī）、更改和误用； 

· 访问控制（zhì）：按照访问控（kòng）制的商务要求（qiú），控制信（xìn）息（xī）访问；加强用户访（fǎng）问管理，防止（zhǐ）非授权访问信息系统（tǒng）；明确用户职责，防止（zhǐ）非授（shòu）权的（de）用户访问；加强网络访问控制（zhì），保护网络服务程（chéng）序（xù）；加强（qiáng）操作系统访（fǎng）问控制 , 防止（zhǐ）非授权的计算机访问；加强应用访问控（kòng）制，防止非授（shòu）权访问系统（tǒng）中的信息；通过监控系（xì）统的访问（wèn）与使用（yòng），监测非授权行为；在移动式计算和电传工作方面 , 确（què）保使用移动式计算和电传工作设施的信息（xī）安全； 

· 系统开发（fā）与维（wéi）护：明（míng）确系统（tǒng）安全要求（qiú），确保（bǎo）安全性已（yǐ）构成信息系（xì）统的一部（bù）份；加强应用系统的安（ān）全，防止（zhǐ）应用系统用户（hù）数据的（de）丢失、被修改或误用；加（jiā）强（qiáng）密码技术控制，保护信息的保（bǎo）密性、可靠性或完（wán）整性；加（jiā）强系统文件的（de）安全，确（què）保 IT 方（fāng）案（àn）及其支持活动以安全的方式进（jìn）行；加强（qiáng）开发和支持过程的安全，确保应用系统（tǒng）软（ruǎn）件和（hé）信息的安全； 

· 商务连续性（xìng）管理：防止商务活（huó）动的中断及保（bǎo）护关键商（shāng）务过（guò）程不受重大失误（wù）或灾难事故的影响； 

· 符合：符合法（fǎ）律（lǜ）法（fǎ）规要求，避（bì）免刑法、民法、有（yǒu）关（guān）法（fǎ）令法（fǎ）规（guī）或合（hé）同约定事宜及其他安全要求（qiú）的规（guī）定相抵触（chù）；加强安全方针和（hé）技术符合性（xìng）评审（shěn），确保体系按照组织（zhī）的安全（quán）方针（zhēn）及标准（zhǔn）执行；系（xì）统审核考虑因素（sù），使效果较（jiào）大化 , 并使系统审核过程的（de）影响（xiǎng）较小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信（xìn）息安（ān）全认证所需的各（gè）项措施的详细指导，具有（yǒu）很强的可操（cāo）作性（xìng）和指导性。

归根结底，信息安全工作的目的（de）就是在法律、法规、政策的支持与指导下（xià），通过采用合（hé）适的安全技术与（yǔ）安全（quán）管理措（cuò）施，提供安全（quán）需求的保证，而（ér） BS7799 信息安（ān）全认证标准（zhǔn）正是（shì）总和（hé）了这些要求。组织可（kě）以根据（jù）自身特（tè）点，在（zài） ISO/IEC 17799 指（zhǐ）导下（xià），实现信息安全的（de）要求。

 ISO27001：2005 《信息安全管（guǎn）理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求（qiú）》是关于信息安全管理（lǐ）的标准，是标准不是方法，达（dá）到这（zhè）些标准（zhǔn）的要求并不难（nán），重要的是用什么方（fāng）法去实现。企业（yè）应将实施标（biāo）准作为改善（shàn）内部管理的一（yī）次机会，不应该将标（biāo）准做为一种简单的模式对（duì）现有流程运作进行套用，应对（duì）现有的组织运作流程进行详（xiáng）细分析，有针对性地设计并改善现有（yǒu）管理体（tǐ）系、改善薄弱环节（jiē）、改（gǎi）善运作流程及（jí）内部沟通，并有效地将（jiāng）好的管理思想融（róng）合到具体（tǐ）的（de）实施程序（xù）中，才能发挥标准的真正作（zuò）用。

获得认证证（zhèng）书不是zui终目的，建立有责、有序、有效（xiào）的信息安（ān）全管理（lǐ）体系，提高（gāo）员工（gōng）的信息安全意识（shí），不断获取（qǔ）并（bìng）运用好的管（guǎn）理方法和技术（shù）手段才能使企业的信息安（ān）全管理（lǐ）水平得（dé）以持续的发展和提升（shēng）。