BS7799-2：2002信息安全管理（lǐ）体系规范向组织提出了一系列（liè）认证的要求，在（zài）总则（zé）中提（tí）出组织应建立并保持（chí）一个文件化的信息（xī）安全管（guǎn）理体系，阐述被保护的资（zī）产、组织风险管（guǎn）理的渠道、控（kòng）制目标及控制方式和需（xū）要的保证等级；通（tōng）过建立管理架（jià）构（gòu）并（bìng）加以实施来达到（dào）识（shí）别控制目标和控制方式，并形成文件（jiàn）和（hé）记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全（quán）方针：为信息安全提供管理指导和支持； 

· 组织安全：建立信息安全（quán）架构，保证组织的（de）内部管理；被第三方（fāng）访问或（huò）外协时，保障（zhàng）组织的信息安全（quán）； 

· 资产的归类与控（kòng）制：明确资产责任，保持对组（zǔ）织（zhī）资产（chǎn）的适当保护；将信息进行归（guī）类，确保信息资（zī）产受到适当程（chéng）度的保护； 

· 人员安全（quán）：在工作说明（míng）和资源方面，减（jiǎn）少因人为错误、盗窃（qiè）、欺诈和设施误用（yòng）造成的风险；加强用户（hù）培训，确保用户（hù）清（qīng）楚（chǔ）知道信息安全（quán）的危险性（xìng）和（hé）相关事项，以便在他（tā）们的日常工作中支持组（zǔ）织的安全方针；制定安全事故或故障的（de）反应程序，减少（shǎo）由安全事故和故障造成的损失，监控（kòng）安全事件并从这种（zhǒng）事（shì）件中吸取教（jiāo）训； 

· 实物（wù）与环（huán）境安全：确定安全（quán）区域，防止非授权访问、破坏（huài）、干扰商务（wù）场（chǎng）所和信息；通过保障（zhàng）设备安（ān）全，防止（zhǐ）资产（chǎn）的丢失、破坏、资产（chǎn）危（wēi）害（hài）及商务活动的（de）中断；采用通用的控制方式，防止信息（xī）或信息处理设施（shī）损坏或失窃； 

· 通信（xìn）和操作方式（shì）管理：明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系统策（cè）划与验收，减少系统失效风险；防范恶意（yì）软件以（yǐ）保（bǎo）持软件和（hé）信息的完整性；加强内务管理以保持信息处理和通讯服（fú）务的（de）完整性和有（yǒu）效性（xìng）通过 ; 加强（qiáng）网（wǎng）络管理确保（bǎo）网络中的信息安全及其辅（fǔ）助设施受（shòu）到保护；通过保护媒体处理的安全 , 防止资产（chǎn）损坏和商务活动的中断；加强（qiáng）信（xìn）息和软件的交换（huàn）的管理，防止组织间在交换信息时（shí）发生丢失、更改和（hé）误用； 

· 访问（wèn）控制：按（àn）照访问控制的商务（wù）要求，控制（zhì）信息访问；加强用户访问管理，防止非授权访问信息系统（tǒng）；明（míng）确（què）用户职责，防止非授权（quán）的用户访问；加强网络访问控制，保护网络服务程序；加（jiā）强操作系统（tǒng）访问控制（zhì） , 防止非授权（quán）的计（jì）算机访（fǎng）问；加（jiā）强应（yīng）用访问（wèn）控制，防止非（fēi）授权访问系统中的信息；通过（guò）监控系统的访问（wèn）与使用，监测非授权行为；在移动式计算和电传（chuán）工作方面（miàn） , 确保使（shǐ）用（yòng）移动式计算（suàn）和电传（chuán）工作设施的（de）信息安全； 

· 系（xì）统开发与（yǔ）维（wéi）护：明确系统安全要求，确保安（ān）全性已构成信息系统的（de）一部份；加强应用系统的（de）安全，防止应用系统用户数据的丢失、被修改或误用（yòng）；加强密码技术控制，保护信息的保密性、可（kě）靠性或（huò）完整（zhěng）性；加强（qiáng）系统文件的安全，确保 IT 方案及其支持活动以（yǐ）安（ān）全的方式进（jìn）行；加强开发和（hé）支持过程（chéng）的安全，确保应用（yòng）系统软件和（hé）信息的安（ān）全（quán）； 

· 商务连续性管理：防止（zhǐ）商务（wù）活动的中（zhōng）断及保护关键商务过程不受（shòu）重大失（shī）误或灾难（nán）事（shì）故的（de）影响； 

· 符合（hé）：符合（hé）法（fǎ）律法（fǎ）规要（yào）求，避免刑法、民法、有关法（fǎ）令法规（guī）或合同约定事宜及其他安（ān）全要求的规定（dìng）相抵触；加强安全方针和（hé）技术（shù）符合性评审，确（què）保体系按照组织的安全方针及标准执行；系统审核（hé）考虑因素，使效（xiào）果较大（dà）化 , 并使系统审（shěn）核（hé）过程的影（yǐng）响较小化。 　 

在国际标准（zhǔn） ISO/IEC17799 给出了为实现信息安（ān）全认证（zhèng）所需的各项措施（shī）的详细指导，具有（yǒu）很强（qiáng）的可操作性和指导性。

归根（gēn）结底，信息安全（quán）工作的目的就是在（zài）法律、法规、政策（cè）的支持（chí）与指导下，通过采用合适的安全技术与（yǔ）安全管理措（cuò）施，提供（gòng）安全需求的保证，而 BS7799 信息安（ān）全认证标准正（zhèng）是总和了（le）这些要求。组织可以根据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求（qiú）》

 ISO27001 ： 2005 《信息（xī）安（ān）全（quán）管理体系（xì）要求》是关于信息（xī）安全管理（lǐ）的标准，是（shì）标准不是方法（fǎ），达（dá）到这些标准（zhǔn）的要（yào）求（qiú）并不难，重要的（de）是用（yòng）什么方法去（qù）实现。企业应将实施标准作为改善内部管（guǎn）理的一次机会，不应该将标准做为一（yī）种简单的（de）模式对现有流（liú）程运作进行套用，应（yīng）对现（xiàn）有的（de）组（zǔ）织运作流程进行详细分析，有针对性地（dì）设计并改善（shàn）现有管（guǎn）理体系（xì）、改善薄弱环（huán）节、改善运（yùn）作流程及内部沟通，并有效（xiào）地将好的管（guǎn）理思想融合到具体的（de）实（shí）施程序中，才（cái）能发挥标准的真正作（zuò）用。

获得认证证书（shū）不是zui终（zhōng）目的，建立有责、有序、有（yǒu）效（xiào）的（de）信息安全管理体系，提高员工的（de）信息安全（quán）意识，不断获取并运用好的管理方法和技（jì）术手段才能使企业的信（xìn）息（xī）安全（quán）管理水平得（dé）以持续的发展和提升。