BS7799-2：2002信息（xī）安全（quán）管（guǎn）理体系规范向组织提出了（le）一系列认证的要求，在总则中提出（chū）组织应建立并保持一个文件化的信息安全管理体系，阐述被保护的资产、组（zǔ）织风险管（guǎn）理的渠（qú）道、控制目标及控制方式和需要的保证等级（jí）；通过建立（lì）管理架构并加以实施来达到（dào）识别控制目（mù）标和（hé）控（kòng）制方式，并形成文件（jiàn）和（hé）记（jì）录（lù）。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全（quán）方针：为信息（xī）安全（quán）提供管理指导和（hé）支持； 

· 组织安全：建立（lì）信息安（ān）全架构，保证组织的内部管理；被（bèi）第三方访问或外协时，保障（zhàng）组织的（de）信息安全； 

· 资产（chǎn）的归类与控制：明确（què）资产责任，保持对组织（zhī）资产（chǎn）的适当保护；将信（xìn）息（xī）进行归（guī）类，确保（bǎo）信息资产受到适（shì）当程度的保护； 

· 人员（yuán）安（ān）全：在工作说（shuō）明和资源方面，减少因人为（wéi）错误、盗窃、欺诈和设施（shī）误用造成（chéng）的风险；加强用户培训，确保用（yòng）户清楚知道信息安全的危险性（xìng）和相关事项，以便在他们（men）的日常工作中支持（chí）组织的安全方针（zhēn）；制定安全事故（gù）或故障的反应程序（xù），减少由（yóu）安（ān）全事故和故（gù）障造成的损失，监控安全（quán）事件并从这种事（shì）件中吸取教训； 

· 实物与环境安全：确定安（ān）全区域，防止（zhǐ）非授权（quán）访（fǎng）问、破坏、干扰商务场（chǎng）所（suǒ）和（hé）信息；通过保（bǎo）障设备安全，防（fáng）止资产的丢失、破坏、资产危害及商务（wù）活动的中断；采（cǎi）用通用的（de）控制方（fāng）式，防止信息或信息处理设施损坏或失窃（qiè）； 

· 通信和操作方式管（guǎn）理（lǐ）：明确操作（zuò）程序及其责（zé）任（rèn），确保信（xìn）息处理设施（shī）的正（zhèng）确、安全操作；加强系统策（cè）划（huá）与验收（shōu），减（jiǎn）少系统失效风（fēng）险；防范恶意（yì）软件以保持软件和（hé）信息的完整性；加强（qiáng）内（nèi）务管理以保持（chí）信息处理和通讯服（fú）务的（de）完整性和有效性通过（guò） ; 加强网络（luò）管（guǎn）理确保（bǎo）网络中的（de）信息（xī）安全及（jí）其辅助（zhù）设施受到保护；通（tōng）过保护媒体处（chù）理的（de）安全 , 防止资产损（sǔn）坏（huài）和商务活动的中（zhōng）断（duàn）；加强信息（xī）和软件的交换的管理（lǐ），防止组织间在交换信息时（shí）发生丢失、更改和误用； 

· 访（fǎng）问控制（zhì）：按照访问控制（zhì）的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权（quán）的用户访问（wèn）；加强网络访问（wèn）控制，保护网络服务程序；加强（qiáng）操作（zuò）系统访问（wèn）控制 , 防止非（fēi）授权的计算机访问；加强（qiáng）应（yīng）用访问控制，防止非授权访问系统（tǒng）中的信息；通（tōng）过监控系统的访问与使用，监测（cè）非授权行为；在移动式计（jì）算（suàn）和电传（chuán）工作方面 , 确保使用移动式计算（suàn）和（hé）电传（chuán）工作设施的（de）信息安（ān）全； 

· 系（xì）统开发与维护（hù）：明（míng）确（què）系统安全要求，确保安全性已（yǐ）构成信息系统的一部份；加强应用系（xì）统（tǒng）的安全，防止（zhǐ）应（yīng）用系统用户数据的丢失、被修改或误用；加强密码技术控（kòng）制，保（bǎo）护信息（xī）的保（bǎo）密性、可靠性（xìng）或完整性；加强系统文件的安全，确保 IT 方案及（jí）其支（zhī）持活动（dòng）以安全的方式进行；加（jiā）强开（kāi）发和支（zhī）持过程的安全，确保（bǎo）应用系统软件（jiàn）和信息（xī）的（de）安全； 

· 商（shāng）务连续性（xìng）管（guǎn）理：防止（zhǐ）商务活动的中断及保护关键商务过程不受（shòu）重大失（shī）误或灾难事故的（de）影响； 

· 符合：符合（hé）法律法（fǎ）规要求，避免刑法、民（mín）法、有关法令法规或合同约定（dìng）事宜及其他安全要求的（de）规（guī）定相抵触；加强安全方针和技术符合性（xìng）评（píng）审，确保（bǎo）体（tǐ）系按照（zhào）组织的安全方针及标（biāo）准执行；系（xì）统审（shěn）核考虑因（yīn）素，使效果较大（dà）化（huà） , 并使系统审核过程的影响较（jiào）小（xiǎo）化。 　 

在国（guó）际标准（zhǔn） ISO/IEC17799 给出了为实现信息安全认证所需的各项措施的详（xiáng）细指导（dǎo），具有很强的（de）可操作性（xìng）和指（zhǐ）导性。

归根结底（dǐ），信息安全工作的目的就是在法律、法规（guī）、政策的（de）支持与指导下，通过采用合适的安全技术与（yǔ）安（ān）全管理措施，提供安全需（xū）求的保（bǎo）证，而 BS7799 信息安全认证（zhèng）标准正是总和了这（zhè）些要求（qiú）。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安（ān）全的要（yào）求。

 ISO27001：2005 《信息（xī）安全（quán）管（guǎn）理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管（guǎn）理体系要求》是关（guān）于信（xìn）息安全（quán）管理（lǐ）的标准，是标（biāo）准（zhǔn）不（bú）是方法（fǎ），达到这些标准的要（yào）求并不难，重（chóng）要的是用什么方法去（qù）实（shí）现。企业（yè）应将实施标准作为改善（shàn）内部管理（lǐ）的一次（cì）机会，不（bú）应（yīng）该将标准做为一种（zhǒng）简单的模式对（duì）现有流程运作进行套用，应对现有的组织运作（zuò）流程（chéng）进行详细分析，有针对（duì）性地设计（jì）并改善现有（yǒu）管理体系、改（gǎi）善薄弱环节、改善运作流（liú）程及内部沟通，并有效地将好（hǎo）的管（guǎn）理思想融（róng）合到具体（tǐ）的（de）实施程序中，才能发挥标准的真正作用。

获得认证证书（shū）不（bú）是zui终目的（de），建立有责、有序、有（yǒu）效的（de）信息安全管（guǎn）理体系，提高员工的信息安全意识，不断获取并运（yùn）用好的管理方法和技术手段才能使企业的（de）信息安全管理水平得以（yǐ）持续的发展和提升。