BS7799-2：2002信息安全（quán）管理体系规范向组织提出了一系列认证的（de）要求（qiú），在总则中提出组织应建立并保持（chí）一个文件化的信息安全管理（lǐ）体系，阐述被保护（hù）的资产（chǎn）、组（zǔ）织（zhī）风险管理的渠道（dào）、控制目标及（jí）控制方（fāng）式（shì）和（hé）需（xū）要的保证等（děng）级（jí）；通过建立管理架构并加以（yǐ）实施来达（dá）到识别（bié）控制（zhì）目标和控（kòng）制方式，并形成文件和记（jì）录。

BS7799-2：2002的（de）控制细则包括10个方面： 　

· 安全方针（zhēn）：为信息安（ān）全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全（quán）架构，保（bǎo）证组织的内部管理；被第三方（fāng）访问或外协时，保障组织的信息安全； 

· 资产的归类（lèi）与控制：明确资产（chǎn）责任，保持对（duì）组织资产的适当保护；将信息进行（háng）归类，确保信（xìn）息资产受到适当程度（dù）的保护； 

· 人员安全：在工（gōng）作说明（míng）和（hé）资源方面，减少因（yīn）人为（wéi）错误（wù）、盗窃、欺诈和设施误用造成的风险；加强（qiáng）用户培（péi）训，确保用户（hù）清楚知道信息安（ān）全的危险性和相（xiàng）关事项，以（yǐ）便在他们（men）的日常工作（zuò）中支持（chí）组织的安全方（fāng）针；制（zhì）定安全事故（gù）或故障（zhàng）的反应程序（xù），减少由安全事（shì）故和故障造成的损失，监控安全（quán）事件并从这种事件中（zhōng）吸取教训（xùn）； 

· 实物（wù）与环境安全（quán）：确定安全区域（yù），防止非授（shòu）权访问、破坏、干（gàn）扰商务场所和信息（xī）；通过保障设备安全，防止资产（chǎn）的丢（diū）失、破坏（huài）、资（zī）产危（wēi）害及商（shāng）务活动的中断（duàn）；采（cǎi）用（yòng）通用的（de）控制方式（shì），防止信息或信息处理（lǐ）设施损坏或失窃（qiè）； 

· 通信和操作方式（shì）管理：明确操作程序及其责任（rèn），确保（bǎo）信息处理设施的正确、安全操（cāo）作；加强（qiáng）系统策划与验收（shōu），减少系（xì）统失效风险（xiǎn）；防范（fàn）恶意软件以保持软件和信息的（de）完（wán）整性；加强内务管理以保持信息处理和（hé）通（tōng）讯服务的完整性和有（yǒu）效性通过（guò） ; 加强（qiáng）网络管理确保（bǎo）网络中（zhōng）的信息安全及其辅助设施受到保（bǎo）护；通过保护媒体处理的安（ān）全 , 防止资（zī）产损坏（huài）和商（shāng）务活动的中断；加（jiā）强信息（xī）和（hé）软（ruǎn）件（jiàn）的交换的管理，防止组织间在交换信息时（shí）发生丢失、更改和误用； 

· 访问控制：按照访问控（kòng）制的商务要求（qiú），控制信息访问；加强（qiáng）用户（hù）访问管理（lǐ），防止非授（shòu）权访（fǎng）问信（xìn）息系统；明确（què）用（yòng）户职责，防（fáng）止（zhǐ）非授权的用户访问；加强网络访问控（kòng）制，保护（hù）网络服（fú）务程序；加强操作系统访问控制（zhì） , 防止非授权的计算机访问；加强应用访问控制，防止非授权访问系（xì）统中的信息（xī）；通过（guò）监控系统的访问与使用，监测非（fēi）授权行为；在移动式（shì）计算和电（diàn）传工作方（fāng）面 , 确保使用移动式（shì）计算（suàn）和电传工（gōng）作设施的信息安全； 

· 系统开发与维（wéi）护：明确系统安全要（yào）求，确保安全性（xìng）已构成信息（xī）系统的一部份；加强应用系统的安全，防止（zhǐ）应用系统用户数据的丢（diū）失（shī）、被修改或误用；加强密（mì）码技术（shù）控制，保护信息的保密性、可（kě）靠性（xìng）或完整（zhěng）性；加（jiā）强系统文件的安全（quán），确保 IT 方案及（jí）其支持活动以安（ān）全的方（fāng）式进（jìn）行；加强开发（fā）和支持过程（chéng）的（de）安（ān）全，确保应（yīng）用系统软件和信息的安全； 

· 商务连续性（xìng）管理（lǐ）：防（fáng）止商务活动（dòng）的中（zhōng）断及保护关键商（shāng）务过程不受重（chóng）大失误或灾难事故（gù）的影响； 

· 符合（hé）：符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事（shì）宜及其他安（ān）全要求的规定相抵触；加（jiā）强安全方针和技术（shù）符合性评审，确（què）保体系按照（zhào）组（zǔ）织的安全方针及标准（zhǔn）执行（háng）；系（xì）统审核考虑（lǜ）因素，使效果较大化 , 并（bìng）使系（xì）统审核过程的影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给出了为实现信息安全（quán）认（rèn）证所需的（de）各项（xiàng）措施的详细指导，具有很（hěn）强的可操作性和指导性。

归根结（jié）底，信息安全工作的目（mù）的就是在法律、法规、政策的支持（chí）与指导下，通过采（cǎi）用合（hé）适的（de）安全技术与（yǔ）安全管理措施，提供安全需求（qiú）的（de）保证，而 BS7799 信息安全认证标准正是总和了（le）这些要（yào）求。组织可（kě）以根据（jù）自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安全管（guǎn）理（lǐ）体系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于（yú）信息安全管理的标准，是标准不（bú）是方法，达到这（zhè）些标准的要求并不难（nán），重要的是用什么方法去实现。企业应（yīng）将实施标准（zhǔn）作为改善内部管理的一次（cì）机会，不应该将标准做为一（yī）种（zhǒng）简单的模式（shì）对现有（yǒu）流程运作进行套用，应对（duì）现有的组织运作流程进（jìn）行详细（xì）分析（xī），有针对性地设计并改（gǎi）善现有管理（lǐ）体系、改善薄弱环节、改善运作流程及内部沟通，并（bìng）有效地将好的管理（lǐ）思想融合到（dào）具体的实（shí）施程序中，才能发挥标准的真正作用。

获得认证证（zhèng）书不是zui终目的，建立有责（zé）、有序、有（yǒu）效的信息（xī）安全（quán）管理体系，提高员（yuán）工的信息安全意识，不断（duàn）获取并运用好的管理方法和技术手段才能使（shǐ）企业的信（xìn）息（xī）安全管理（lǐ）水平得以持续的发展和提（tí）升。