BS7799-2：2002信息（xī）安全管理体系规范向（xiàng）组织提出了（le）一系列认（rèn）证的（de）要（yào）求，在（zài）总则（zé）中提出组织应（yīng）建（jiàn）立并保持一个文件化的信息安全管理体系，阐述被保护的资产、组织风险管理的渠道、控制目标及控制（zhì）方式和需要的保证等级；通过建立（lì）管理架构（gòu）并加以实施来达到识别控制目（mù）标和控制方式，并（bìng）形成文件和记（jì）录。

BS7799-2：2002的控制细则（zé）包（bāo）括10个方面： 　

· 安全方针：为信息安全提供管理（lǐ）指导（dǎo）和支（zhī）持； 

· 组（zǔ）织（zhī）安全（quán）：建立信息安（ān）全架构，保（bǎo）证组织的内（nèi）部管理；被（bèi）第三方访问或外协时，保障组织的信息（xī）安全； 

· 资产的（de）归类与（yǔ）控（kòng）制：明确（què）资产责（zé）任，保持（chí）对组（zǔ）织资产的适（shì）当保护；将信息进行归类，确保信息资产受到适当程（chéng）度（dù）的保护； 

· 人（rén）员安全：在工作说明和资源方面，减（jiǎn）少（shǎo）因人为错误、盗窃、欺诈和设施误用造（zào）成（chéng）的风险；加（jiā）强用户培训，确保（bǎo）用户清楚知道信息安全的危（wēi）险性和相关事（shì）项，以便在他们的日常工作中支持组织的（de）安全方针；制定安（ān）全事故或故障的（de）反应程序，减（jiǎn）少由安（ān）全事故和故障造成的损（sǔn）失（shī），监控安（ān）全（quán）事件（jiàn）并从这种事件中吸取教训（xùn）； 

· 实物与环境（jìng）安全：确定安（ān）全区域，防止非授（shòu）权访问（wèn）、破坏、干扰（rǎo）商（shāng）务场所和信息；通过保障（zhàng）设备安全，防止资产的丢失、破坏、资产（chǎn）危害及商务（wù）活动（dòng）的中断；采用（yòng）通用的控制方式，防止信息或（huò）信息处理设施损坏或失（shī）窃； 

· 通信和操作方式管理：明确操作程序及其责任，确保信息处（chù）理设施的（de）正确（què）、安全（quán）操（cāo）作；加强系（xì）统策划与验收，减少系统失效风险；防范恶意软件以保（bǎo）持软件和（hé）信息的完（wán）整性；加强内（nèi）务（wù）管（guǎn）理以保持信（xìn）息（xī）处理和通讯服务的完（wán）整性和有效性通（tōng）过 ; 加（jiā）强网络（luò）管（guǎn）理确保网络中的信息安（ān）全及（jí）其（qí）辅助设施受到保（bǎo）护；通过保护媒体（tǐ）处理的安全 , 防止资产（chǎn）损（sǔn）坏和商务活动的中断；加强（qiáng）信息和软（ruǎn）件的（de）交换的（de）管理，防（fáng）止（zhǐ）组织间（jiān）在交（jiāo）换（huàn）信息时发（fā）生丢失、更（gèng）改和误用； 

· 访问（wèn）控制：按照访问控（kòng）制的商务要求（qiú），控制信息（xī）访问；加强（qiáng）用户（hù）访问管理，防止非授权访问（wèn）信息系（xì）统；明（míng）确用户职（zhí）责（zé），防止非授权的用户访（fǎng）问；加（jiā）强网络访问控制，保（bǎo）护网（wǎng）络服务程序；加强（qiáng）操作系统访问控（kòng）制 , 防（fáng）止非授权的计算机（jī）访问；加强（qiáng）应用访问控制，防止非授权访问系统中（zhōng）的信息；通过监控系统的访问与使用，监测非授权行为（wéi）；在移（yí）动式计算（suàn）和电传工作方面 , 确保使用（yòng）移（yí）动式计算和电传工（gōng）作设施的信息（xī）安全； 

· 系（xì）统开发与维（wéi）护：明（míng）确系统（tǒng）安全要求，确（què）保安（ān）全性已构（gòu）成（chéng）信息系统的一（yī）部（bù）份；加强应用系（xì）统的安全，防（fáng）止应用系（xì）统用户数据的丢（diū）失、被修改或误用；加强密码技术（shù）控制（zhì），保护信息的保密性、可靠性（xìng）或完整（zhěng）性；加强系统文（wén）件的安全，确保 IT 方案及其支持活动以安全的方式进行；加强开发和支（zhī）持过程的安全（quán），确保应用系（xì）统（tǒng）软件和（hé）信息的安（ān）全； 

· 商（shāng）务连续性管理：防止商务活动的中断及保护关（guān）键商务过程不受重大失误或灾难事故的影响； 

· 符合：符合法（fǎ）律法规要求，避免刑法、民法、有关（guān）法（fǎ）令法规或合同约定事宜及其他安全（quán）要求的规（guī）定相抵触；加强安全方针和技（jì）术符合性评审，确保体系按照组织的安全（quán）方针及标（biāo）准执行；系统审核考虑因素，使（shǐ）效果较大化 , 并使系统（tǒng）审核过程的影（yǐng）响较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了（le）为实现（xiàn）信息安全（quán）认证所需（xū）的（de）各项措施的（de）详细指导，具有很强的可操作（zuò）性和指导性。

归根（gēn）结底，信息安全（quán）工作的目的就是在法律、法规（guī）、政策（cè）的支持与指（zhǐ）导（dǎo）下，通过采用合适的安全技术与安全管理措施，提供安全需（xū）求的保证，而 BS7799 信息安全认证标准正（zhèng）是总和了这些（xiē）要（yào）求。组织可以根据（jù）自身特点，在 ISO/IEC 17799 指（zhǐ）导下，实（shí）现（xiàn）信息安（ān）全的要（yào）求（qiú）。

 ISO27001：2005 《信息安全管理体系（xì）要求》

 ISO27001 ： 2005 《信（xìn）息安全管理（lǐ）体系要求》是关（guān）于信息（xī）安全（quán）管理（lǐ）的（de）标准，是（shì）标准不是方法，达（dá）到这些（xiē）标准的（de）要求（qiú）并不难，重（chóng）要（yào）的是用什（shí）么方法去实（shí）现（xiàn）。企（qǐ）业应将实施标准作为改善内部（bù）管理的一（yī）次机（jī）会，不应（yīng）该将标准做为（wéi）一种简单的模式对现有流程运（yùn）作进行套用（yòng），应对现有的组织运作流程进行详细分析（xī），有针对性地（dì）设（shè）计并改善（shàn）现有管理体系、改善（shàn）薄（báo）弱环节、改善（shàn）运作（zuò）流程（chéng）及内部沟（gōu）通（tōng），并（bìng）有效地将（jiāng）好的管理（lǐ）思想融合（hé）到具（jù）体的实施程序中，才（cái）能发挥标准的真（zhēn）正作（zuò）用。

获得认证证书不是（shì）zui终目的（de），建立有责、有序、有效的信息安全管理体系，提高员（yuán）工的信（xìn）息安全意识，不断获取并（bìng）运（yùn）用好的管（guǎn）理方法和技术手段（duàn）才能使企（qǐ）业的信息安（ān）全管理水平得以持续的发展和（hé）提（tí）升。