BS7799-2：2002信息（xī）安全管理体系规（guī）范向组（zǔ）织提出了一系列认证的要（yào）求，在总则中提出（chū）组织应建立（lì）并保持一个文件化（huà）的（de）信息安全管理体系，阐（chǎn）述（shù）被保护的（de）资产、组织风险管（guǎn）理的渠道、控制目标及控制方式和需要的保证等（děng）级（jí）；通（tōng）过建立管理（lǐ）架构并加以实施来（lái）达到识别（bié）控制目标和（hé）控制（zhì）方式，并形成（chéng）文（wén）件和（hé）记录。

BS7799-2：2002的控制细则包括（kuò）10个（gè）方面： 　

· 安全方针：为信息安全提供（gòng）管理（lǐ）指导和支持； 

· 组织安全（quán）：建（jiàn）立信息安（ān）全（quán）架构，保证组织的内（nèi）部（bù）管理（lǐ）；被第三方访问或外协时，保障组织的信息安全（quán）； 

· 资产的归类与控（kòng）制（zhì）：明确资产（chǎn）责任，保持（chí）对组织资（zī）产的适当保护（hù）；将信（xìn）息进行归类，确保信（xìn）息资产（chǎn）受到适当程度的保护； 

· 人员安全：在工作说明和资（zī）源方面，减少因人为错误（wù）、盗窃、欺诈和设施误用造成的风险（xiǎn）；加强用户培训，确保用户清楚知道（dào）信息安全的危（wēi）险性和相关事（shì）项，以便（biàn）在他们（men）的日常工作中支持组织的安全方针；制（zhì）定（dìng）安全事故或故障的反应程序（xù），减少由安全事（shì）故（gù）和故障造成的（de）损失，监控安全事件并从这种事件中吸取（qǔ）教训； 

· 实物与环境安全：确定安全（quán）区域，防止非（fēi）授权访问、破坏（huài）、干扰商（shāng）务（wù）场所和信息；通过保障设备安全，防止资产的丢失（shī）、破（pò）坏、资产危害及商务活（huó）动的中断；采用（yòng）通用的控（kòng）制方式（shì），防止信（xìn）息（xī）或信息处（chù）理设施损坏或失窃； 

· 通（tōng）信和操作方式管理：明确操（cāo）作程序及（jí）其责任，确保信息处理（lǐ）设（shè）施的正确、安全操作（zuò）；加（jiā）强系统策划（huá）与验收，减（jiǎn）少（shǎo）系统失效风险（xiǎn）；防（fáng）范（fàn）恶意软件以保持软件和信息（xī）的（de）完整性（xìng）；加强内务管理以保持信息（xī）处理和（hé）通讯服务的完整性和有效性通过 ; 加强（qiáng）网络管理确保网络中的信息安全及其辅助设施（shī）受到保护（hù）；通过保护媒体处理的安全 , 防止资（zī）产（chǎn）损（sǔn）坏和商（shāng）务活动的中断；加强信息和软件的交换的管理，防止（zhǐ）组织（zhī）间（jiān）在交（jiāo）换信息时（shí）发生（shēng）丢（diū）失、更（gèng）改和误用； 

· 访问控制：按照访问控制（zhì）的（de）商务要求（qiú），控制信息访（fǎng）问；加强用户访（fǎng）问管理，防止非授权访（fǎng）问信息（xī）系统；明确用户职（zhí）责，防止（zhǐ）非授（shòu）权的用户（hù）访问；加强网络访（fǎng）问（wèn）控（kòng）制，保（bǎo）护网络（luò）服务程序（xù）；加强操作（zuò）系统访问（wèn）控制 , 防止（zhǐ）非授权（quán）的计算机访问（wèn）；加强应用访问（wèn）控制，防止非授权访（fǎng）问（wèn）系统（tǒng）中（zhōng）的（de）信息；通过监控（kòng）系统的访问与使用（yòng），监测非授权行为；在（zài）移动（dòng）式计算（suàn）和（hé）电传工作方面 , 确保使用移动式计算和电传工（gōng）作（zuò）设施的（de）信息安（ān）全（quán）； 

· 系统开发与维护（hù）：明确（què）系统（tǒng）安全要求，确保安全性已构（gòu）成信息系统的一部份；加强（qiáng）应用系统（tǒng）的安全（quán），防止应（yīng）用系（xì）统用（yòng）户数据的（de）丢失、被修改或（huò）误用；加强密码技术控制，保护（hù）信息的（de）保（bǎo）密（mì）性、可靠（kào）性（xìng）或完整性；加强系统文件的安（ān）全，确保 IT 方案及其支持活（huó）动以安（ān）全的方式（shì）进行；加强开发和支持过程的（de）安（ān）全（quán），确保应用系统软件和信息的安（ān）全； 

· 商务连续性管理：防止（zhǐ）商务活动的中断及（jí）保护关（guān）键商务（wù）过（guò）程（chéng）不受重大失误或灾（zāi）难事故的影（yǐng）响； 

· 符合：符合法律法（fǎ）规要求，避（bì）免刑法、民法、有关法令法（fǎ）规或（huò）合同（tóng）约定（dìng）事宜及其他安全要求的规定相抵触；加强安全方针和（hé）技（jì）术（shù）符合性评审（shěn），确保体系按照组织（zhī）的安全（quán）方（fāng）针（zhēn）及标（biāo）准执行；系统审核（hé）考虑因素，使效果较大化 , 并使系统审核过（guò）程的影响（xiǎng）较（jiào）小化（huà）。 　 

在国际（jì）标准 ISO/IEC17799 给出了为实现信息安全认证所需的各（gè）项措施的详（xiáng）细指导，具有（yǒu）很强的可操作性和指导性。

归根（gēn）结底，信息（xī）安（ān）全工作的（de）目的就是在法律、法规（guī）、政策的支持与指导下，通过采用合（hé）适的安全技术与安全管理措施（shī），提供（gòng）安全需求的保（bǎo）证，而 BS7799 信息安全认证标准正是总和了这些要（yào）求。组织可（kě）以（yǐ）根据（jù）自身特点，在（zài） ISO/IEC 17799 指导（dǎo）下，实现信息安全的要求（qiú）。

 ISO27001：2005 《信息安全管理体系（xì）要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信（xìn）息安全管理的标准，是（shì）标准（zhǔn）不是方（fāng）法，达到这些（xiē）标准的要求并（bìng）不难，重要的是用什么方（fāng）法去实现（xiàn）。企业（yè）应（yīng）将（jiāng）实施标准作为改善内部管理（lǐ）的一次机会（huì），不应该将标准（zhǔn）做为一（yī）种（zhǒng）简单的模式对现有流程运作（zuò）进（jìn）行套用，应对现有的（de）组织（zhī）运作流（liú）程进行详细分析，有针对性地设计并改善现有管理体系、改善薄弱环节、改善（shàn）运（yùn）作流程（chéng）及内部沟通，并（bìng）有效（xiào）地将好的管理思想融合到具体的实施程序（xù）中，才能发挥标准（zhǔn）的真正作用。

获（huò）得认证证书不是zui终目的，建（jiàn）立有（yǒu）责、有序、有（yǒu）效（xiào）的信息安全管理体系，提高员工的信息（xī）安全意识，不断获取并运用（yòng）好的管（guǎn）理方法（fǎ）和技术手段才能使企业的信（xìn）息安全管理水平得以持续的发展和提升。