BS7799-2：2002信（xìn）息安（ān）全（quán）管理（lǐ）体系规范向组织提出了一系（xì）列认证的要求，在总则中提出（chū）组织应建立并保持一个文件化的信息安全管理体（tǐ）系（xì），阐述被（bèi）保护（hù）的资（zī）产、组织风险管理的（de）渠道、控制目标及控制方式和需（xū）要的（de）保（bǎo）证等级（jí）；通过建立管（guǎn）理架构（gòu）并加以实（shí）施来达到识（shí）别控制目标（biāo）和控制方式，并形成文（wén）件和记录。

BS7799-2：2002的控（kòng）制细则包括（kuò）10个方面： 　

· 安全方针：为信息安（ān）全提供管理指导和支持； 

· 组（zǔ）织安全：建（jiàn）立（lì）信（xìn）息（xī）安全架构，保证组（zǔ）织的（de）内部（bù）管理；被（bèi）第三（sān）方访问或外协时（shí），保障（zhàng）组织的信息安全（quán）； 

· 资（zī）产的归（guī）类与（yǔ）控制：明确资产责（zé）任，保持对（duì）组织资产的适当保护；将信息（xī）进行归类（lèi），确保信息资产受（shòu）到适当程度（dù）的（de）保护； 

· 人员安全：在工作说明和资源方面，减少因（yīn）人（rén）为错误、盗窃（qiè）、欺（qī）诈和（hé）设（shè）施（shī）误（wù）用造成的（de）风险；加强用户培（péi）训，确保用户清（qīng）楚知道信息安全的危险性和相关（guān）事项，以便在他们的日常工（gōng）作中（zhōng）支持组织的安全方针（zhēn）；制定安全事故或故障（zhàng）的反应程（chéng）序，减少由安全事故和故障造成的损失，监控安（ān）全（quán）事件（jiàn）并从（cóng）这种事件中吸取教训； 

· 实物与环（huán）境安全：确定（dìng）安全区域，防止（zhǐ）非授权访问、破坏、干扰商务（wù）场所和信息（xī）；通过保障（zhàng）设备安全，防止（zhǐ）资产的（de）丢失、破坏、资产危害及商务（wù）活动的中断；采用通用的控制方（fāng）式，防止信息或信息处理（lǐ）设施损坏或失（shī）窃； 

· 通信和操作方式（shì）管理：明确操作程序及（jí）其责任，确保信息处理设施的正确、安全操作；加强系统（tǒng）策划与验（yàn）收，减少（shǎo）系统失效风险；防范恶意软（ruǎn）件以保持（chí）软件和信息的完整（zhěng）性；加（jiā）强内务管（guǎn）理以保持信息处理和通讯服务（wù）的完整性和（hé）有效（xiào）性通过 ; 加强（qiáng）网络（luò）管理（lǐ）确保网络中的信息安全（quán）及其辅助设施受到（dào）保护；通过保护媒体处（chù）理的安全 , 防止资（zī）产损坏和商务活动的中断（duàn）；加强信息和软件的（de）交（jiāo）换的管理，防（fáng）止（zhǐ）组织间在交换（huàn）信息时发生丢失、更（gèng）改（gǎi）和误用； 

· 访问（wèn）控（kòng）制：按照访问控制的（de）商务要（yào）求，控制信（xìn）息访问；加强（qiáng）用户访问管理（lǐ），防止（zhǐ）非授权访问信息系统；明（míng）确用户职责，防止（zhǐ）非授权的用户访问；加强网络访问控制（zhì），保护网络服务程序；加强（qiáng）操作系统访问控制 , 防（fáng）止非授权的计算机（jī）访问；加强应（yīng）用访问控制，防止非授权（quán）访问系（xì）统中的信（xìn）息；通过监控（kòng）系统的访问与使（shǐ）用（yòng），监测非授权行为；在移动式计算和电传工（gōng）作方面 , 确保使用移（yí）动（dòng）式计算和电传工作设施的信息安全； 

· 系（xì）统开发与维护：明确系统安全（quán）要求，确保安全性已构成（chéng）信（xìn）息系统的一部份；加强应（yīng）用系统的（de）安全，防止（zhǐ）应用（yòng）系统用户数据的丢（diū）失、被修（xiū）改或误用（yòng）；加强密码（mǎ）技术（shù）控制，保护信息的保密性（xìng）、可靠（kào）性或完整性（xìng）；加强系统文件的安全（quán），确保 IT 方案及其支持活动以（yǐ）安全（quán）的方式进行；加强开发和支持（chí）过程的安全，确保应用系统软件和信息（xī）的安全（quán）； 

· 商务（wù）连续性（xìng）管理（lǐ）：防（fáng）止商务活动的中（zhōng）断及保护关（guān）键商（shāng）务过程不受重大失误或灾（zāi）难事故的影（yǐng）响； 

· 符合：符合法律法规（guī）要求，避（bì）免刑（xíng）法、民法、有（yǒu）关法令法规或合同约定（dìng）事宜及其（qí）他安全要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按（àn）照组织的安全方针（zhēn）及标准执行；系（xì）统审（shěn）核（hé）考虑因（yīn）素（sù），使（shǐ）效果较大化 , 并使（shǐ）系统审核过程的影响较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了为（wéi）实现信息安全认证（zhèng）所需的各项措（cuò）施（shī）的详（xiáng）细指导，具有很强的可操作（zuò）性和指导性。

归根结（jié）底，信息安全工作（zuò）的目的就是在法律、法规（guī）、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，提（tí）供安全需求的（de）保证，而（ér） BS7799 信息安（ān）全认证标准正是总（zǒng）和了这些要求。组织（zhī）可以根据自身特点，在 ISO/IEC 17799 指导下，实现信（xìn）息（xī）安全的要求。

 ISO27001：2005 《信息（xī）安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求（qiú）》是（shì）关于信息安（ān）全（quán）管理（lǐ）的标准（zhǔn），是标准不是方法（fǎ），达到（dào）这些标准的（de）要求并（bìng）不难，重要的是用什（shí）么（me）方（fāng）法去实现。企业（yè）应将实施标准作为改善内部管理（lǐ）的一次机会，不应（yīng）该将标准做为一种简单的模式对现有流程运作（zuò）进行套用，应（yīng）对现有的组织（zhī）运（yùn）作流程进行详细分析（xī），有（yǒu）针对性（xìng）地设计并改善现有管理体系、改善薄弱环节、改善运作流程（chéng）及内部沟通，并（bìng）有效地将好的管理（lǐ）思想融合（hé）到（dào）具体的实施（shī）程序中，才能发挥标准的真正作用。

获得认证证（zhèng）书不是（shì）zui终目的，建立有责、有序、有效的信息（xī）安全管理体系，提（tí）高员（yuán）工的信（xìn）息安全意识，不断获取并运（yùn）用好的管理（lǐ）方法和技术（shù）手段（duàn）才能使企业（yè）的信息（xī）安全管理水平得以（yǐ）持（chí）续的发展和提（tí）升。