BS7799-2：2002信（xìn）息安全管理体系规范向组织提出了（le）一系列认（rèn）证的要求，在总则（zé）中提出组织（zhī）应（yīng）建立并保持一个文件化（huà）的信息安（ān）全管理（lǐ）体系，阐（chǎn）述（shù）被保护的（de）资产、组（zǔ）织风险管理的渠道、控制目（mù）标及控制（zhì）方式和需要的（de）保证等级；通过建立管理（lǐ）架构并加以实施（shī）来达到识别（bié）控制目标和控制方（fāng）式，并（bìng）形成文件和记录。

BS7799-2：2002的控制细则包括（kuò）10个方面： 　

· 安全方（fāng）针：为信息（xī）安（ān）全提（tí）供管理指导和支持； 

· 组（zǔ）织安全（quán）：建（jiàn）立信（xìn）息安全架构（gòu），保证组织（zhī）的（de）内部管（guǎn）理；被第三方访问或（huò）外协（xié）时，保障（zhàng）组织的信息安（ān）全； 

· 资产的（de）归（guī）类与控制：明确资（zī）产责任，保持对组织资（zī）产的适当（dāng）保护（hù）；将信息进（jìn）行归类，确保信息资产受到适当程度的保护（hù）； 

· 人员安全：在工作说明和（hé）资源方面，减少因人（rén）为错误、盗窃、欺诈和设（shè）施误（wù）用造成的风险；加（jiā）强（qiáng）用户（hù）培训，确（què）保用户清楚知道信息（xī）安全的危（wēi）险性和相关事项，以便在他们的日常工（gōng）作中支持组织的安全方针；制定安（ān）全事故或（huò）故障的反应程序，减少由安全事故和故障造（zào）成的损失，监控（kòng）安（ān）全事件（jiàn）并从这种事件中吸（xī）取教训； 

· 实物与环（huán）境安（ān）全（quán）：确定安全区域，防止非授权访问、破坏（huài）、干（gàn）扰商务场所和信息；通过（guò）保障设（shè）备安全，防止资产的丢失、破（pò）坏、资产危害及商务活（huó）动的（de）中断；采用通用的控制方（fāng）式，防止信息或信息处理（lǐ）设施损坏或失窃（qiè）； 

· 通信和操作方（fāng）式管（guǎn）理：明确操（cāo）作程序及其责任（rèn），确保信（xìn）息（xī）处（chù）理设施（shī）的正确、安全（quán）操作；加（jiā）强系统策划与验收，减少系统（tǒng）失效风险（xiǎn）；防范恶意软（ruǎn）件以保（bǎo）持软件和信息的完整性；加（jiā）强内务管理以保持信息处理和通（tōng）讯（xùn）服（fú）务的完（wán）整性和（hé）有效性通过 ; 加强网络（luò）管理确保网络中的信息安全及其辅助设施受到保（bǎo）护；通过保护媒体处理的安全（quán） , 防止（zhǐ）资产损坏和商务（wù）活动（dòng）的中断；加强信息（xī）和软件的（de）交（jiāo）换的管理，防止组织间在交（jiāo）换（huàn）信息时发生丢（diū）失、更改和误用； 

· 访问控制：按（àn）照访问控制的（de）商（shāng）务要求（qiú），控制信息访问；加强用户访问管理，防止非授权（quán）访问信息（xī）系（xì）统；明确（què）用户（hù）职责，防止非（fēi）授权（quán）的用户访问；加强网络访问控制，保护网络服务程序；加强操（cāo）作系统访问控（kòng）制 , 防止非授权的（de）计算（suàn）机访问；加强应用访问控（kòng）制，防止（zhǐ）非（fēi）授权访问系统中的信息（xī）；通过（guò）监控（kòng）系统的访问与使（shǐ）用，监测非（fēi）授权行为；在移（yí）动式计算和电传（chuán）工作方面 , 确保使用移动式计算和电（diàn）传工（gōng）作设（shè）施的信息安全； 

· 系统开发与维护：明确系统（tǒng）安全（quán）要求，确保安全（quán）性已构成信息系统的一部份；加强应用系统的安（ān）全，防止应用系统用户数（shù）据的丢失、被修（xiū）改或误用（yòng）；加（jiā）强密码技术（shù）控制（zhì），保护（hù）信（xìn）息的保密性、可靠性（xìng）或完（wán）整（zhěng）性；加强系（xì）统文（wén）件的安全，确保（bǎo） IT 方案及其支（zhī）持活动以安全的方式进行；加强开发和支持（chí）过程的安全，确（què）保（bǎo）应用系统软件和信息的（de）安全（quán）； 

· 商务连续（xù）性管（guǎn）理（lǐ）：防止商（shāng）务（wù）活动的中断及保护关键商务（wù）过（guò）程不（bú）受（shòu）重（chóng）大失（shī）误或灾难事（shì）故（gù）的（de）影响（xiǎng）； 

· 符合：符合法律法规要求，避免刑法、民法、有关法令（lìng）法规或合同（tóng）约（yuē）定事宜及（jí）其他安全要求的规（guī）定相抵触；加强（qiáng）安全方针和技术符合性评（píng）审，确（què）保体系按照组（zǔ）织的安全方针（zhēn）及标准执行；系（xì）统审核考虑因素，使效果较大化 , 并使系统审核过（guò）程的影响较小（xiǎo）化。 　 

在（zài）国际标准 ISO/IEC17799 给出（chū）了为实现信息安全（quán）认证所需（xū）的各项措施的（de）详细指导（dǎo），具有很强（qiáng）的可操作性和指导性（xìng）。

归根结底，信息安（ān）全工作的目的（de）就是（shì）在法（fǎ）律、法规、政（zhèng）策（cè）的（de）支持与指导下，通过（guò）采用合适（shì）的安（ān）全技术与安全管理（lǐ）措施，提供安全需求的保证，而 BS7799 信（xìn）息安全认证标（biāo）准正是总和（hé）了（le）这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要求（qiú）。

 ISO27001：2005 《信息安（ān）全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管（guǎn）理（lǐ）体（tǐ）系要求》是（shì）关于信息（xī）安全管理的标准，是标准（zhǔn）不（bú）是方法，达到这些标准的要求并不难，重要的是用什么方（fāng）法去（qù）实现。企业（yè）应将实施标准作为改善内（nèi）部（bù）管理的一次（cì）机会，不应该将标（biāo）准做（zuò）为一（yī）种简单的模式对（duì）现有流程运作进行套用，应对（duì）现有（yǒu）的组织运作流程（chéng）进行详细分析（xī），有针对性地设计并（bìng）改（gǎi）善现（xiàn）有管理体（tǐ）系、改（gǎi）善（shàn）薄弱环节、改善运（yùn）作流程（chéng）及内（nèi）部沟通，并（bìng）有效（xiào）地将好的管理思（sī）想融（róng）合（hé）到具体的实施程序中，才（cái）能（néng）发（fā）挥标（biāo）准的真正作用。

获得认证证（zhèng）书不是（shì）zui终目的，建立有责、有（yǒu）序、有效的信息安全管理体（tǐ）系，提高员工的信息安全意识，不断（duàn）获取并（bìng）运用好的管理方法和技术手段才能使企业的信息安全（quán）管理水平得以持（chí）续（xù）的发展和提升。