BS7799-2：2002信息（xī）安全管理体系规范向组织提出了一系列认证（zhèng）的要求（qiú），在总则（zé）中提出组织应建立并保持（chí）一个文件化的信息安（ān）全管理体（tǐ）系，阐述（shù）被保（bǎo）护（hù）的资产、组织（zhī）风险管理的渠道（dào）、控制目标（biāo）及控（kòng）制（zhì）方（fāng）式和需（xū）要的（de）保证等级；通过建立管理架构并加以（yǐ）实施（shī）来达到识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方（fāng）针：为信息安全提供（gòng）管理指导和支持（chí）； 

· 组（zǔ）织安全：建立信息安全架构，保（bǎo）证组织的内部（bù）管理；被（bèi）第三方访问或外（wài）协时，保障组（zǔ）织的信（xìn）息（xī）安全； 

· 资产的归类与控制：明（míng）确资产（chǎn）责任，保持对组织资产的适当（dāng）保护；将信息进行归类，确保信息资产受到适（shì）当程度的保护； 

· 人员安全：在工（gōng）作说（shuō）明和资源（yuán）方面，减少因人为错误、盗窃、欺诈（zhà）和（hé）设施误用造成（chéng）的风险；加（jiā）强用（yòng）户培训（xùn），确保（bǎo）用（yòng）户清（qīng）楚知（zhī）道信息（xī）安全的危（wēi）险性和相（xiàng）关事（shì）项（xiàng），以便在（zài）他们的（de）日常工（gōng）作中支（zhī）持组织的安全方针；制定安（ān）全事故（gù）或故障的反应程（chéng）序，减少由（yóu）安全事故（gù）和故障造成的损失，监控安全（quán）事（shì）件并从这种事件中吸取教训； 

· 实物与环境安全：确（què）定安（ān）全区域，防止非（fēi）授权（quán）访问、破（pò）坏（huài）、干扰商务场所和信息；通过保障设（shè）备安全，防止资产（chǎn）的丢失、破坏、资产危害及商务活动的中（zhōng）断；采用通用的控制（zhì）方式，防止信息或信（xìn）息处（chù）理（lǐ）设施（shī）损坏或失窃（qiè）； 

· 通信和操作方式管理：明确（què）操作程序及其责任（rèn），确保信息处理设施的正确、安全操作；加强系（xì）统策划与（yǔ）验收，减（jiǎn）少系统失效风险；防范恶意软（ruǎn）件以保持软件和信息的完整性；加强内务管理以保（bǎo）持信（xìn）息处理和通讯服务的（de）完整性和有效性通过 ; 加强网（wǎng）络管理确保（bǎo）网络（luò）中的信息安（ān）全及其辅助设（shè）施（shī）受到保护；通（tōng）过保（bǎo）护媒体处理的安全 , 防止资产损坏和商务活（huó）动的（de）中断；加强信息和软件的交换的管（guǎn）理，防止组织（zhī）间在交（jiāo）换信息时（shí）发生丢失、更改和误（wù）用； 

· 访问（wèn）控制：按照访（fǎng）问控制的商务（wù）要求，控制（zhì）信息访问；加（jiā）强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访（fǎng）问；加强网络访问控制，保（bǎo）护网络服务程序；加强（qiáng）操作（zuò）系统访问控（kòng）制（zhì） , 防止非授权（quán）的计算机访问；加强（qiáng）应用访（fǎng）问控制，防止非授权访问（wèn）系统中的信息；通过（guò）监控（kòng）系统的访（fǎng）问与使用（yòng），监测非授（shòu）权行（háng）为；在移动式计算（suàn）和电传工作方面 , 确保使用（yòng）移动式计（jì）算和电传工作设施的信息安全； 

· 系统开（kāi）发与维护（hù）：明确系统安全要求，确保安全（quán）性已（yǐ）构成信息系统的一部（bù）份；加强应用系（xì）统的（de）安全，防止（zhǐ）应用系统用户数（shù）据的丢失、被修改或误（wù）用（yòng）；加强（qiáng）密（mì）码技术控（kòng）制，保护信息的保密（mì）性、可靠性或完整性；加强系统文件的安全，确保 IT 方案及其支持活动以安全的（de）方（fāng）式进（jìn）行；加强开发和支持过程的安全（quán），确保应用系统软件和信息的安全； 

· 商务连续（xù）性管（guǎn）理：防（fáng）止商务活动的（de）中断（duàn）及保护关键商务过程不受重大失误（wù）或灾难事故的影响； 

· 符合：符合法律（lǜ）法（fǎ）规要求，避免刑法、民法、有关法（fǎ）令法规或合同约定事宜（yí）及其他安全要求的规定相（xiàng）抵触（chù）；加强安（ān）全（quán）方针和技术符（fú）合（hé）性评审，确（què）保体系（xì）按照组织（zhī）的安全（quán）方针（zhēn）及标准执行（háng）；系统审核考虑因素，使效果较（jiào）大化 , 并（bìng）使系统审核过程的（de）影响较（jiào）小（xiǎo）化。 　 

在国际（jì）标准 ISO/IEC17799 给出（chū）了（le）为实现信息安全认证所（suǒ）需的各项措施（shī）的详细指（zhǐ）导，具有很强的可操（cāo）作（zuò）性和指导性。

归根结底，信（xìn）息安（ān）全工（gōng）作的目的就（jiù）是在法律、法规、政策的支持（chí）与指导下（xià），通（tōng）过采（cǎi）用合适的安全技（jì）术与安全（quán）管（guǎn）理措施，提供安（ān）全需求的保证，而 BS7799 信息安全认证（zhèng）标准正是总和了这些要求。组织可以（yǐ）根据自身特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信（xìn）息安（ān）全管理体系要求》

 ISO27001 ： 2005 《信息安全（quán）管理体系要求》是（shì）关于信息安（ān）全管（guǎn）理的标准，是标准（zhǔn）不（bú）是方法，达到这些（xiē）标准的要求并不难，重要的是（shì）用什么方法（fǎ）去实现。企业应将实施标准作为改善内部管理的一次机会，不应（yīng）该将（jiāng）标准做为一种简（jiǎn）单的（de）模式（shì）对现有流程运作进行（háng）套用，应对现（xiàn）有的（de）组（zǔ）织（zhī）运作流程进（jìn）行详细分析（xī），有针对性地设计并改善（shàn）现（xiàn）有管理体（tǐ）系、改善（shàn）薄弱环节、改善（shàn）运作流程及内部（bù）沟（gōu）通，并有效地（dì）将好的管理思想融合到具体的实施程序中，才能发挥标准的真（zhēn）正作用。

获得认证证书不是zui终（zhōng）目（mù）的（de），建立有责、有（yǒu）序、有效的信（xìn）息（xī）安全管理体系，提高员工的信息安全意识，不断获取并运用好的管理方法和技术手段才能使（shǐ）企业的信息安全管理水平得以持续的发展（zhǎn）和提（tí）升。