BS7799-2：2002信息安全管理体系规范（fàn）向组织提出了一（yī）系列认证（zhèng）的要（yào）求（qiú），在（zài）总则中（zhōng）提出（chū）组织应（yīng）建立并保持一个文件化的信息安全管理体（tǐ）系，阐述被（bèi）保护的资产、组织风险（xiǎn）管理的渠道、控制目标及控制方式和需要的保证等级；通（tōng）过建立管（guǎn）理架构并加（jiā）以（yǐ）实施来达到（dào）识别控（kòng）制目标和控制方（fāng）式，并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面： 　

· 安全方针：为信息安全提供管理指导和支持（chí）； 

· 组织安全：建立（lì）信（xìn）息安全（quán）架构，保（bǎo）证组（zǔ）织的内部管理；被（bèi）第三方访问或（huò）外协时，保障组织的（de）信息安全； 

· 资（zī）产的归类与（yǔ）控制：明确资（zī）产责任，保持对组织资产的适当保护；将信息进行（háng）归类，确保信息资产受到适当程度的保护； 

· 人员安全：在工作说明和资源方面，减少因人为错（cuò）误（wù）、盗窃、欺诈和设（shè）施误（wù）用造（zào）成的风险；加强用（yòng）户（hù）培训，确保（bǎo）用户（hù）清楚知道信（xìn）息安全的危险性和相关（guān）事项，以便在他们的日常（cháng）工作中支持组织的安全方针（zhēn）；制定安全事（shì）故或故障的（de）反应程序，减（jiǎn）少由安（ān）全事故和故障造成的损失，监控安全事件并从这种（zhǒng）事件（jiàn）中吸取教训； 

· 实物与环境安全（quán）：确定安全区域，防止非授权访问、破坏、干扰商务场所和信（xìn）息（xī）；通（tōng）过（guò）保障（zhàng）设备（bèi）安全（quán），防止（zhǐ）资产的丢失、破（pò）坏、资产危害及商务活动的中断；采用通（tōng）用的控（kòng）制方式，防止信息或（huò）信息处（chù）理设施损坏（huài）或（huò）失窃（qiè）； 

· 通信和（hé）操作方式（shì）管理（lǐ）：明确（què）操作程序及其责任，确（què）保（bǎo）信息处理设施的正确、安（ān）全操作；加强系统策划与验收，减少系统失（shī）效风险；防范恶意软件以（yǐ）保持软件和信息的完整性；加强内务管理以保持（chí）信息（xī）处理和通讯服务的完（wán）整（zhěng）性（xìng）和有效性通过 ; 加强（qiáng）网络管理确保网络中的信息安（ān）全及其辅助设施受（shòu）到保护；通过保护媒体（tǐ）处理的安（ān）全 , 防止（zhǐ）资产损坏和商务活动的中断（duàn）；加强信息和（hé）软件的交换的管理，防（fáng）止组织（zhī）间在交换（huàn）信息时发（fā）生丢失、更改和误用； 

· 访问控制：按照（zhào）访问控制的商务要求，控（kòng）制信息（xī）访问；加强用户访问管理，防止非授（shòu）权访问信息系统；明确（què）用户职责，防止（zhǐ）非授权的用户访问；加强网（wǎng）络（luò）访问控制（zhì），保护（hù）网络服（fú）务程序；加强操作（zuò）系统访问控制 , 防（fáng）止非授权的计算机访问；加强应用（yòng）访问控制，防止（zhǐ）非授权（quán）访问系（xì）统中（zhōng）的信息；通过监控（kòng）系统的访问与使用，监测非（fēi）授权行（háng）为；在移动（dòng）式（shì）计算和电传工（gōng）作方面 , 确保使（shǐ）用移（yí）动（dòng）式计算和电传工作设（shè）施的信息安全； 

· 系统开发与维护：明确系统（tǒng）安全要（yào）求，确保安（ān）全性已构成信息系（xì）统的一部（bù）份；加强应用系（xì）统的（de）安全，防止（zhǐ）应用系（xì）统用户数据的丢失、被修改或误用（yòng）；加强密（mì）码技术控制（zhì），保护信息的（de）保（bǎo）密性、可靠（kào）性或完整性（xìng）；加强系统（tǒng）文件的安全，确保 IT 方案及其支（zhī）持活动以安全的（de）方（fāng）式进行；加强开发和（hé）支持过程的（de）安全，确保应用系统软件和信息（xī）的（de）安全； 

· 商务连（lián）续性管理：防止商（shāng）务（wù）活动的中断（duàn）及保护（hù）关键（jiàn）商务过程（chéng）不受（shòu）重大失误或灾难（nán）事故的影响； 

· 符合：符合法律法规要求，避免（miǎn）刑法、民法、有关法令（lìng）法规或合（hé）同（tóng）约定事宜及其他（tā）安全要求的规定相抵触（chù）；加（jiā）强安全方针和（hé）技术（shù）符合（hé）性评审，确（què）保体（tǐ）系（xì）按（àn）照组织的安全方针及标准执行；系统审核考虑因素，使效果（guǒ）较大化 , 并使（shǐ）系统审核过程的影响较小化。 　 

在国际标准 ISO/IEC17799 给（gěi）出了为实现信息安全认证所需（xū）的各项措施的详细指导，具（jù）有很强（qiáng）的可操（cāo）作性和指导性。

归根结底，信息安（ān）全工作（zuò）的（de）目的就是在法律、法规、政策的支持与指导下，通（tōng）过采用合（hé）适（shì）的安全技术与安全管理（lǐ）措施，提供安（ān）全（quán）需（xū）求的保证，而 BS7799 信息安全认证（zhèng）标准正是总和了这些要（yào）求（qiú）。组织可以根据（jù）自身特点，在 ISO/IEC 17799 指导下，实现信息安（ān）全的要求。

 ISO27001：2005 《信息安全管（guǎn）理体系要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管理（lǐ）体（tǐ）系要求（qiú）》是（shì）关于信息安（ān）全（quán）管理的标准，是标准不（bú）是（shì）方法，达到这些标准的要求并不难（nán），重要的是用什么方（fāng）法去实（shí）现。企业应将实施（shī）标（biāo）准作为改善内（nèi）部管（guǎn）理的一次机会，不应该将标准（zhǔn）做为一种简单的模式（shì）对现有（yǒu）流程运作进行套用，应对现有的组织运（yùn）作流程进行详细分析，有（yǒu）针对性（xìng）地设计并改善现有（yǒu）管理体系（xì）、改善薄（báo）弱环节、改善运作流程及内部沟通（tōng），并有效地将好（hǎo）的（de）管理思想融合到具体（tǐ）的实施程序中（zhōng），才能发挥标准（zhǔn）的真正作用（yòng）。

获得认证（zhèng）证书不是（shì）zui终（zhōng）目（mù）的，建立有责（zé）、有（yǒu）序（xù）、有（yǒu）效的（de）信息安全（quán）管理体（tǐ）系，提高员工的信（xìn）息安全（quán）意识（shí），不断获（huò）取并（bìng）运用好的管理方法和技术（shù）手段才能（néng）使企业（yè）的信息（xī）安全管（guǎn）理（lǐ）水平得（dé）以持（chí）续的（de）发（fā）展和提（tí）升。