BS7799-2：2002信息安全（quán）管理体系（xì）规范向（xiàng）组（zǔ）织提出了（le）一系列认（rèn）证的要求（qiú），在总则中提（tí）出（chū）组织应（yīng）建立（lì）并保持一个文件（jiàn）化的信息安全管理体系，阐述被保（bǎo）护的资产、组织风险管理（lǐ）的（de）渠（qú）道、控制目标及控制方式（shì）和（hé）需要的保证等级；通过建（jiàn）立（lì）管理架（jià）构并加以实施来达到识别控制（zhì）目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包（bāo）括10个（gè）方面： 　

· 安（ān）全（quán）方针：为信息安全提供管（guǎn）理指导和（hé）支持； 

· 组织（zhī）安全（quán）：建立信息（xī）安全架构，保证组织（zhī）的（de）内部管理；被（bèi）第三（sān）方访问或外协（xié）时，保障组织的信息安（ān）全； 

· 资产（chǎn）的归类与（yǔ）控制：明确资产责任，保持对组（zǔ）织资产的适当保护；将信息进行归类，确保信（xìn）息资产受（shòu）到适（shì）当程度的保护（hù）； 

· 人员安全：在工作说明和资源（yuán）方面，减少因人（rén）为错（cuò）误、盗（dào）窃、欺诈和设施误用造成的风险；加强用户（hù）培（péi）训（xùn），确保用户清楚知（zhī）道信息安全的危险性和（hé）相关事项，以便在他们的日（rì）常工作（zuò）中支（zhī）持组织的安全方针；制定安全事故或（huò）故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件（jiàn）并从这种事件中吸取教训（xùn）； 

· 实（shí）物与环境（jìng）安全：确定安全区域，防止非授权（quán）访（fǎng）问、破坏、干扰商务场（chǎng）所和信息；通过保障设（shè）备安全，防（fáng）止资产的丢失、破坏、资（zī）产危害及商务（wù）活动的中（zhōng）断（duàn）；采用通（tōng）用的控制（zhì）方式，防止信（xìn）息（xī）或信息处理设施损（sǔn）坏或失窃； 

· 通信和（hé）操作方式管理：明确操作程序及（jí）其责任，确保信（xìn）息处（chù）理设施的（de）正确、安全（quán）操作；加强（qiáng）系统策（cè）划与（yǔ）验收，减少系统失效风险；防范恶意软件（jiàn）以保持软件和（hé）信（xìn）息（xī）的完整性；加（jiā）强内（nèi）务管理（lǐ）以保持信息（xī）处理（lǐ）和通讯服（fú）务的完（wán）整性和有（yǒu）效性通过 ; 加强网络（luò）管理确保网络中的信息安全及其辅助设（shè）施受（shòu）到（dào）保（bǎo）护；通过保护媒体处理的安（ān）全 , 防（fáng）止资产损（sǔn）坏和商务活动的中（zhōng）断；加强信（xìn）息和软件的交换的管理，防止组织间在交换信息时（shí）发生丢失、更（gèng）改和误用； 

· 访问控制：按照访问控制的商务要（yào）求，控制信息（xī）访问（wèn）；加强用（yòng）户访（fǎng）问管理（lǐ），防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网（wǎng）络访问控制（zhì），保护网（wǎng）络服务程（chéng）序；加强操作系统访问控制（zhì） , 防止非授权的计算机访问；加强（qiáng）应用访问控制，防止非授权（quán）访（fǎng）问系（xì）统中的信（xìn）息（xī）；通过监控（kòng）系统的（de）访问（wèn）与使用，监测非授权行为；在移动式计算和电传工作方面 , 确保使用移动式计算和电传工作设施的信息安全； 

· 系统开发与维护：明确系统安全要求，确保安全（quán）性已构成信息系统的一部（bù）份；加强应用系统的安全（quán），防止（zhǐ）应（yīng）用系统用户（hù）数（shù）据的丢失、被（bèi）修（xiū）改或误用；加强密码技术控制，保护（hù）信息的保（bǎo）密性、可靠（kào）性或完整性；加强系统（tǒng）文件的安全，确保 IT 方案及（jí）其支持活动以安全的（de）方式进（jìn）行；加强（qiáng）开发和支持过程的安（ān）全，确保应用系（xì）统软件（jiàn）和信息的安全； 

· 商务（wù）连（lián）续性管理：防止（zhǐ）商（shāng）务（wù）活动的（de）中断及保护关键商务过程不受重（chóng）大失（shī）误或灾难事（shì）故（gù）的影响； 

· 符（fú）合：符合（hé）法（fǎ）律（lǜ）法规要求，避（bì）免刑法、民法、有（yǒu）关法令法规（guī）或合同约（yuē）定事宜（yí）及其（qí）他安（ān）全（quán）要求的规（guī）定相抵触；加强安全方针（zhēn）和技术符合（hé）性（xìng）评审，确保体系（xì）按照（zhào）组织的安全方针及标准执（zhí）行；系统审核考虑因素（sù），使效果较大化 , 并使系统审（shěn）核过（guò）程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信息安全认证所（suǒ）需的各项（xiàng）措施（shī）的详细指导（dǎo），具有（yǒu）很强的（de）可操作性和指导性。

归根结底，信息安全工（gōng）作的（de）目的就是在法律（lǜ）、法规、政策的支持与指导（dǎo）下，通（tōng）过采（cǎi）用（yòng）合适的（de）安（ān）全（quán）技术与安全管理措施，提供（gòng）安全需求的保证，而 BS7799 信息安全认（rèn）证标准（zhǔn）正是总和了（le）这些要求。组织可（kě）以根据自身（shēn）特点（diǎn），在 ISO/IEC 17799 指导下，实现信息（xī）安全的要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系要（yào）求》是关于（yú）信息安（ān）全管理的标准，是标准不是方法，达到这些标（biāo）准（zhǔn）的要求（qiú）并不难，重要的是用什么方法去实现。企业应将实施标准作为（wéi）改善（shàn）内部管理的一次机（jī）会，不应该将（jiāng）标准（zhǔn）做（zuò）为一种（zhǒng）简单的（de）模（mó）式对现（xiàn）有流程（chéng）运作进（jìn）行套用，应对现有的组（zǔ）织运作（zuò）流程进（jìn）行（háng）详细（xì）分析，有针对性地设计（jì）并改善现有管理体系（xì）、改善薄弱环节（jiē）、改善运作（zuò）流程及（jí）内部沟通，并有效地将好的管理思想融合到具体的实施（shī）程（chéng）序中，才能发挥标（biāo）准的（de）真正（zhèng）作用。

获得认证证书不是zui终目（mù）的，建立有（yǒu）责、有序、有效的（de）信（xìn）息安全管理（lǐ）体系，提高员工（gōng）的（de）信息安全（quán）意（yì）识，不断获取并运用好（hǎo）的（de）管理方法和技术手段才能使企业的信息安全管理水平得以持续的发展和提升（shēng）。