BS7799-2：2002信息安（ān）全（quán）管理体系规范（fàn）向（xiàng）组（zǔ）织提出了一系列认（rèn）证的要求，在总则中（zhōng）提出（chū）组织应（yīng）建立并（bìng）保持一（yī）个文件化的信息安全管理（lǐ）体系，阐述被保护的资产、组织风（fēng）险管理的渠（qú）道、控制目标及控制方式和需（xū）要的（de）保证等级；通（tōng）过建立管理（lǐ）架构并加以实施来达到识（shí）别（bié）控制目标（biāo）和控制方式（shì），并形（xíng）成文件和（hé）记（jì）录。

BS7799-2：2002的（de）控制细则包括10个方（fāng）面： 　

· 安全方（fāng）针：为（wéi）信息安全提供管理指导和支（zhī）持； 

· 组织安全：建立（lì）信息（xī）安全架构，保证（zhèng）组织的内（nèi）部管理；被第三方（fāng）访问或外协时（shí），保（bǎo）障组织（zhī）的信息安全； 

· 资产的归（guī）类与控制：明确（què）资产责任，保持对组织资产的适（shì）当保护（hù）；将信息进行（háng）归类，确保信息资产（chǎn）受（shòu）到适当程（chéng）度的保护（hù）； 

· 人员安全：在工（gōng）作说明和资（zī）源方面，减少（shǎo）因人为错（cuò）误、盗窃、欺诈（zhà）和设施误用造成的风险；加（jiā）强（qiáng）用户培训，确保（bǎo）用户清楚知道信息（xī）安全（quán）的（de）危险性和相关事（shì）项，以便（biàn）在他们的日常（cháng）工（gōng）作中支（zhī）持（chí）组织的安全方针；制定安（ān）全事故或故障（zhàng）的反应程序，减少由安全事故（gù）和故障造成的（de）损失，监控安全事（shì）件（jiàn）并从这种事件中吸取教训（xùn）； 

· 实物与环境安（ān）全：确定安全区域（yù），防止非（fēi）授权（quán）访（fǎng）问、破坏、干扰商务场所和信息；通（tōng）过保障设备安全（quán），防止资产的丢失、破坏、资产危害及商务（wù）活动（dòng）的中断；采用通用的控制方式，防止信（xìn）息（xī）或信息处理设施损坏（huài）或（huò）失窃； 

· 通信和（hé）操作方式管理：明确（què）操作程序及（jí）其责任，确保信息处理设施（shī）的正确、安全（quán）操作（zuò）；加强系统（tǒng）策划与验收，减少系统失效风险；防范恶意（yì）软件以保持软件和（hé）信息的完（wán）整性；加强内（nèi）务管（guǎn）理（lǐ）以保持（chí）信息处理和（hé）通讯（xùn）服务的完整性和有效（xiào）性（xìng）通过 ; 加强网络管理确保网络中的信息安全及其辅助设施受（shòu）到（dào）保护；通过保（bǎo）护媒（méi）体处理的安全 , 防止资产损坏和（hé）商务（wù）活动的中断；加强信息（xī）和软件的交换的管理，防（fáng）止组织间在交换信息时发（fā）生丢失、更改（gǎi）和误用（yòng）； 

· 访问控（kòng）制：按照（zhào）访问控制的商务要（yào）求，控制信息（xī）访问；加强（qiáng）用户访问管理，防止非授（shòu）权访问（wèn）信（xìn）息系统（tǒng）；明确用户职责，防（fáng）止非授权的用户（hù）访问；加强网络访问控（kòng）制（zhì），保（bǎo）护网络（luò）服务程序（xù）；加强操作系统访问控制 , 防止非授权的计算机访问；加强应用访问控制，防止（zhǐ）非授权访问系（xì）统（tǒng）中的信（xìn）息（xī）；通过监控系统的访问与使用，监（jiān）测非授权行为；在移动式计算和（hé）电传工作（zuò）方（fāng）面 , 确保使用移动式计算（suàn）和电传工作设施（shī）的信息安全（quán）； 

· 系统开发与维护：明（míng）确（què）系统（tǒng）安全要求（qiú），确保安全性已构成信息系（xì）统的一部份（fèn）；加强应用系统的安全，防止（zhǐ）应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保（bǎo）护信息（xī）的（de）保密（mì）性、可靠性或完整性（xìng）；加强系统文（wén）件的安全，确保 IT 方案及其支持活动以（yǐ）安（ān）全的方（fāng）式进行；加强开发和支持过程的（de）安全，确保应用系统软件和（hé）信息的（de）安全； 

· 商务（wù）连续性管理（lǐ）：防（fáng）止商务活动的中（zhōng）断及保护关键商务过程不（bú）受重大（dà）失（shī）误或（huò）灾难事故的影响（xiǎng）； 

· 符（fú）合：符合（hé）法律（lǜ）法（fǎ）规（guī）要求，避免（miǎn）刑（xíng）法、民法、有关法令法规或合同约定事宜及其（qí）他（tā）安全要求（qiú）的规定相抵触；加强安全方针和技术符合性评审，确保体（tǐ）系（xì）按照组织的安全方针及（jí）标准执行；系统审核考（kǎo）虑因素，使效果较大化 , 并使系统审核（hé）过（guò）程的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实（shí）现信息安全认证所需的各项（xiàng）措施的详细指导（dǎo），具（jù）有很强的可（kě）操作性和指导性。

归根结底，信息安全（quán）工作（zuò）的目的就是在法律、法规、政策的支持与指导下，通过采用合（hé）适的（de）安全技（jì）术与安全管理措施，提供（gòng）安全需求的（de）保证，而 BS7799 信息安全认证标准正（zhèng）是总（zǒng）和（hé）了这些要求。组织可以根（gēn）据自身特点（diǎn），在 ISO/IEC 17799 指导下，实现（xiàn）信（xìn）息安（ān）全的要（yào）求。

 ISO27001：2005 《信（xìn）息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系（xì）要求》是关（guān）于信息（xī）安（ān）全（quán）管理的（de）标准，是标准不是方法，达到这些标准的要求并（bìng）不难，重要的是用（yòng）什么方法（fǎ）去实现。企业应将实施标准作（zuò）为改善（shàn）内（nèi）部管理的（de）一次机会（huì），不（bú）应该将标准做为一种简单的（de）模式（shì）对现有流程运作进行套用，应对现有的（de）组织运作流程进行详细分（fèn）析（xī），有针对性地设计（jì）并改善现有管理体系、改（gǎi）善薄弱环节、改善运作流程及（jí）内部沟通，并有效地将好的管理思想融（róng）合到具体的实施程（chéng）序中，才能发挥标准的（de）真正作用。

获得认证证（zhèng）书不是zui终（zhōng）目的，建立（lì）有责、有序、有效的（de）信息安全管理体系，提高员（yuán）工的信（xìn）息安（ān）全（quán）意识，不断获取并（bìng）运用好的管理方法和技术手段才能使（shǐ）企业的信息安全管理水平得以持续的（de）发展和提升。