BS7799-2：2002信息（xī）安全管理体系规范（fàn）向组织提出了一系列认证（zhèng）的要求（qiú），在总则中提出组（zǔ）织应建立并保持一个文件化的信息（xī）安（ān）全管理体系（xì），阐述被保护的（de）资产、组（zǔ）织风险管理的渠道（dào）、控制目（mù）标及（jí）控（kòng）制方式和（hé）需要的（de）保证等级；通过建立管理架构（gòu）并加以（yǐ）实（shí）施来达（dá）到识别控制（zhì）目标（biāo）和（hé）控制方式，并形（xíng）成文件和记录。

BS7799-2：2002的（de）控制（zhì）细则（zé）包括10个方面： 　

· 安（ān）全方针：为信息安全提供管理（lǐ）指导和（hé）支（zhī）持； 

· 组织安全（quán）：建立信息安全架构，保证（zhèng）组织的（de）内部管理；被（bèi）第三方（fāng）访（fǎng）问或外协时，保障组织（zhī）的信息（xī）安全； 

· 资产的归（guī）类（lèi）与（yǔ）控制：明（míng）确资产责任，保持对（duì）组织资产的（de）适当保护；将信息进行归类，确（què）保信（xìn）息资产（chǎn）受到适当程度的（de）保护； 

· 人员安全：在工作说明和资源方面，减（jiǎn）少因（yīn）人为错（cuò）误、盗窃、欺诈和设施误用造（zào）成的风险；加强用户培训，确（què）保用户清楚知道信息（xī）安（ān）全的危险性和相关（guān）事项，以便在他们（men）的日常工（gōng）作（zuò）中（zhōng）支持组织的安全方针；制定（dìng）安全（quán）事故或故障的反应程（chéng）序（xù），减（jiǎn）少由（yóu）安（ān）全事（shì）故和故障造成的损失（shī），监控（kòng）安（ān）全事件并从（cóng）这（zhè）种事件中吸取（qǔ）教训； 

· 实物与环境安全：确定（dìng）安全（quán）区域，防止非授（shòu）权访问、破坏、干（gàn）扰商务（wù）场（chǎng）所和信息；通过保障（zhàng）设备（bèi）安全（quán），防（fáng）止资产的丢失（shī）、破坏、资产危害及商（shāng）务活动的（de）中断（duàn）；采用通（tōng）用的控制方式，防止（zhǐ）信息或（huò）信息处理设施损坏（huài）或失窃（qiè）； 

· 通（tōng）信和操作方式管理：明确操作程序及其责任（rèn），确保（bǎo）信息处理设施的正确、安全操作；加强（qiáng）系统策划与验收（shōu），减少系统失效风险；防范恶（è）意软件以保持软件和信息的完整性；加强内务管理（lǐ）以保持信息处理和通讯（xùn）服务的完整性和有（yǒu）效性通过 ; 加强网络管理确保网（wǎng）络（luò）中（zhōng）的（de）信息安全（quán）及其辅助设施受到（dào）保护；通过保护媒体处理的安全 , 防止资产损坏和商务（wù）活动的中断；加强信息和（hé）软件（jiàn）的交换的管理，防（fáng）止组（zǔ）织间在（zài）交换（huàn）信息时发生丢（diū）失（shī）、更（gèng）改和误用； 

· 访问控制：按照访问控制（zhì）的商务要求，控（kòng）制（zhì）信息访（fǎng）问；加强用户（hù）访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制（zhì），保（bǎo）护网络（luò）服（fú）务程序；加强操作系统访问控制（zhì） , 防止非授权（quán）的计算机访问；加强应用访（fǎng）问控制，防（fáng）止非授权访（fǎng）问系（xì）统（tǒng）中（zhōng）的信息（xī）；通过监控系统的访问（wèn）与使（shǐ）用（yòng），监测非（fēi）授（shòu）权行为（wéi）；在移（yí）动式计算和电传工作方面 , 确保使用移（yí）动式计算和电传工作（zuò）设施的信息安全； 

· 系（xì）统开发与维护：明确系统安全要求（qiú），确保安全性（xìng）已（yǐ）构成（chéng）信息系统（tǒng）的（de）一部份；加强应用系统的安（ān）全，防（fáng）止应用系统用户数据（jù）的丢失（shī）、被修改或（huò）误用；加强（qiáng）密码（mǎ）技术控制，保护信息的保密性、可靠（kào）性或完整性；加强系统文件的安全，确保 IT 方案（àn）及（jí）其支持活动以（yǐ）安全的方式进（jìn）行；加强开发和（hé）支（zhī）持过程的安（ān）全，确保应用系（xì）统软件（jiàn）和信息的安全（quán）； 

· 商务连续性管理：防止商务（wù）活动（dòng）的中断及保护（hù）关键商务过程不受（shòu）重大失误或（huò）灾难事故（gù）的影响； 

· 符合（hé）：符合法律法（fǎ）规要（yào）求，避免刑法（fǎ）、民法（fǎ）、有关法令法规（guī）或合（hé）同约定事宜及其他安全要求的规定相抵触；加强（qiáng）安（ān）全（quán）方针和技术符合性评审，确保体系按照组织的安全（quán）方针及标准执行；系统审核考虑因素，使效果较大化 , 并使系统（tǒng）审核过程的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现信息（xī）安全认证所需的（de）各项措施的详细指导（dǎo），具有很强的可操（cāo）作性和指（zhǐ）导性。

归（guī）根结（jié）底，信息安全（quán）工作的目的就是在法律、法（fǎ）规、政策的（de）支持与指（zhǐ）导下，通过采用合适的安全技（jì）术与（yǔ）安（ān）全管理措（cuò）施，提供安全需求的保证，而（ér） BS7799 信息安全认（rèn）证标准正是总和了（le）这些（xiē）要求（qiú）。组织（zhī）可以（yǐ）根据（jù）自身特点，在 ISO/IEC 17799 指（zhǐ）导下，实（shí）现（xiàn）信（xìn）息安全的要求。

 ISO27001：2005 《信息（xī）安全管理体（tǐ）系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的标准，是标（biāo）准不是方（fāng）法，达到这（zhè）些标（biāo）准的要求并（bìng）不难，重要（yào）的是用什么（me）方（fāng）法去实现。企业应将实施标准（zhǔn）作为（wéi）改善内部（bù）管理的一次机会，不应（yīng）该将标准做为一种（zhǒng）简单的模式（shì）对现有（yǒu）流程运作进（jìn）行套用，应对现有（yǒu）的组织运作流程进行详（xiáng）细分析，有针（zhēn）对性（xìng）地设计并改善（shàn）现有管理（lǐ）体系（xì）、改善薄弱环节、改善运作流程及内部沟通，并有效地将好的管理思想（xiǎng）融（róng）合到（dào）具体的实（shí）施程序中，才能（néng）发挥标准的真（zhēn）正（zhèng）作用（yòng）。

获得认证证书不是zui终（zhōng）目的，建（jiàn）立有责（zé）、有序、有效的信（xìn）息安全管（guǎn）理体系，提高员工的信息安全意识，不断获取并运用（yòng）好的管理方（fāng）法和技术手段才能使（shǐ）企业的信息安全管理（lǐ）水平（píng）得以持续的发展和提升。