BS7799-2：2002信息安全（quán）管（guǎn）理（lǐ）体（tǐ）系（xì）规（guī）范向组织（zhī）提出（chū）了一系列认证的要（yào）求，在总则（zé）中提出组织应建立并保持一个文件化的信息安全管理体系，阐述被保护的资产、组织风（fēng）险管理的渠道、控制目（mù）标及控（kòng）制方式和需要的保证等级（jí）；通过（guò）建立管理架构并加（jiā）以实（shí）施来达到（dào）识别控（kòng）制（zhì）目标（biāo）和控制方式，并形（xíng）成文（wén）件和记录。

BS7799-2：2002的控制（zhì）细（xì）则包括10个方面： 　

· 安全方（fāng）针：为（wéi）信息安全（quán）提供管理指导和支持； 

· 组织安（ān）全：建立信息安全架构（gòu），保证（zhèng）组织（zhī）的内部管理；被第三（sān）方访问（wèn）或（huò）外协时，保（bǎo）障组织的信息安全； 

· 资产的归类（lèi）与控制：明确资产责任，保持对组织资产的适当保护；将信息进（jìn）行归类，确保信（xìn）息资产受到适当（dāng）程度的保护； 

· 人员安全：在工（gōng）作（zuò）说明和资（zī）源方面，减少因人为错误、盗窃、欺诈和设施误用造成（chéng）的（de）风险；加强用（yòng）户培训（xùn），确保用户清楚知道信息安全的危险性（xìng）和相关事（shì）项，以便在他（tā）们的日常（cháng）工作中支持（chí）组织的安（ān）全方针（zhēn）；制（zhì）定安全事故或故（gù）障的反应程序，减少由安全事故（gù）和故障造成的损失，监控安全事件并从这种事件（jiàn）中吸取（qǔ）教训（xùn）； 

· 实物（wù）与环境安（ān）全：确定安全区域，防（fáng）止非授权访问、破（pò）坏、干扰（rǎo）商务场所（suǒ）和信息；通过保障设备安（ān）全，防止资产（chǎn）的丢失、破坏、资（zī）产危害及（jí）商务活动的（de）中断；采用通用的控制方式（shì），防止信（xìn）息或信息（xī）处理设（shè）施损坏或失窃； 

· 通（tōng）信和操作方（fāng）式（shì）管理：明确操作程序及其责（zé）任，确保信息处理设施的（de）正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软（ruǎn）件和信息的完整性；加强内务管理以保持信息（xī）处理（lǐ）和通讯服务的完整性和有效性通过 ; 加强网络管理确保网络（luò）中的信息安全（quán）及其辅助设施受到保（bǎo）护；通过（guò）保护（hù）媒体处理（lǐ）的安全（quán） , 防止资（zī）产损（sǔn）坏和（hé）商务（wù）活动的中断（duàn）；加强信息和软件的交换的管（guǎn）理，防止（zhǐ）组织间在交（jiāo）换（huàn）信息时发生（shēng）丢失、更改和误用； 

· 访问控制：按照（zhào）访问（wèn）控制的商（shāng）务要求（qiú），控制信息访问；加强用户访（fǎng）问管理，防止非授权访（fǎng）问信息系（xì）统；明确用户（hù）职责，防止非授权的用户访问；加强网络（luò）访问控制，保护网络服务程序；加（jiā）强操作系（xì）统访问控（kòng）制 , 防止非授权的（de）计（jì）算机访问；加强应用访问控制，防止非授权访问系（xì）统中的信息；通过（guò）监控系统的访问与使用，监测非授权行为（wéi）；在移动式计（jì）算和（hé）电传工作方面 , 确保使用移动式计算和电传工（gōng）作设（shè）施的信息安全（quán）； 

· 系统开发与（yǔ）维护：明（míng）确系统安全要求，确保安（ān）全性已构成信息系（xì）统的一部份；加（jiā）强应用系统的安（ān）全，防止应用（yòng）系统用（yòng）户数据的丢失、被修（xiū）改或误用；加强密（mì）码（mǎ）技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安（ān）全（quán），确保 IT 方案（àn）及（jí）其支持活动以安（ān）全的方式（shì）进行；加强开发和支持过程（chéng）的安全，确保应用系统软件和信息的安全； 

· 商（shāng）务连续性（xìng）管（guǎn）理：防止（zhǐ）商（shāng）务活动的（de）中断（duàn）及保护关键商务过程不（bú）受重大失误（wù）或灾难事故（gù）的影响； 

· 符合（hé）：符合法律法规要求，避（bì）免刑法、民法、有关法令（lìng）法规或合同（tóng）约（yuē）定事宜（yí）及其他安全要求（qiú）的（de）规定相抵触；加强（qiáng）安全方针和技术（shù）符合性评审，确保（bǎo）体系按照（zhào）组织的安全（quán）方针及标准执行；系（xì）统审核考（kǎo）虑因（yīn）素，使效果（guǒ）较大化 , 并使系统审核过程的影响较（jiào）小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了为实现（xiàn）信息安全认证所需的各项措施的详细（xì）指导（dǎo），具有很强的（de）可操作性和（hé）指导性。

归（guī）根结底，信息（xī）安全工作的目（mù）的就是在法律、法规、政策的支（zhī）持与指导下（xià），通过（guò）采用合适的安全（quán）技术与安全管理措施，提供安全需求的（de）保证，而 BS7799 信息安全（quán）认（rèn）证标准正是总和了这些（xiē）要求（qiú）。组织可以根据自身特点（diǎn），在（zài） ISO/IEC 17799 指导（dǎo）下，实现信息（xī）安全的要求。

 ISO27001：2005 《信（xìn）息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安（ān）全管（guǎn）理体系要（yào）求》是（shì）关于（yú）信息安（ān）全管理的标准（zhǔn），是标准（zhǔn）不是方法，达到（dào）这些标准的要求并（bìng）不难（nán），重要（yào）的是用什（shí）么方法去实现。企业（yè）应将（jiāng）实施标（biāo）准（zhǔn）作为改善内（nèi）部（bù）管理的一（yī）次机（jī）会，不应（yīng）该将（jiāng）标准做为一（yī）种（zhǒng）简单（dān）的（de）模式对现有（yǒu）流程运作（zuò）进行套用，应对现有的组织运作流程进行详细分析，有针对（duì）性地设计并改善现有管（guǎn）理体系、改善薄弱环节、改（gǎi）善运作流（liú）程（chéng）及内（nèi）部沟通，并有效地将好的管理思想融合到具体的实施（shī）程序中，才能发（fā）挥标准的（de）真正（zhèng）作用。

获（huò）得认证证（zhèng）书不（bú）是（shì）zui终目的，建立有（yǒu）责、有序、有（yǒu）效的信息（xī）安（ān）全管理体系，提高员工的信息安全意识，不断获取（qǔ）并运用好（hǎo）的（de）管理方（fāng）法和技术手段才能使（shǐ）企业的信息安全管理水平得以持续（xù）的发展和提升（shēng）。