BS7799-2：2002信息安全管理体系规（guī）范向组织提出了一系列认（rèn）证的要求，在总则中提（tí）出组（zǔ）织应建立并保持一个文件化的信息安全（quán）管理体系，阐述被（bèi）保（bǎo）护的资产、组织风险管理（lǐ）的渠道、控制目标及控（kòng）制方式和需要（yào）的保证等级；通过建立管（guǎn）理（lǐ）架（jià）构（gòu）并（bìng）加（jiā）以实施来达（dá）到识（shí）别控制目标和（hé）控制方（fāng）式，并形成文（wén）件和记录。

BS7799-2：2002的控制（zhì）细则包括10个方（fāng）面： 　

· 安全方针：为（wéi）信息安全提供管理指导和支（zhī）持； 

· 组织安全：建立信息安全（quán）架构，保证组织的内部管理；被（bèi）第三方访问或（huò）外协时，保障组织的信息安全； 

· 资产（chǎn）的归类与控制：明（míng）确资产责任（rèn），保（bǎo）持（chí）对组织资（zī）产的适（shì）当保护；将信息进行归类，确保信息资产受到适当程度的（de）保护； 

· 人员安（ān）全：在（zài）工作说明（míng）和资（zī）源方面（miàn），减少因人为错（cuò）误、盗窃、欺诈和设施（shī）误用造成的风险；加强（qiáng）用户（hù）培训，确保用户清（qīng）楚知道信息安全（quán）的危险性和相（xiàng）关事项，以便在他们的（de）日常（cháng）工作中支持组织的安全方针；制（zhì）定安（ān）全事故或故障的反应程序，减少由安全事故和故障造成的损失，监（jiān）控安全事件并从这种事（shì）件（jiàn）中吸取教训； 

· 实物与环境安全：确（què）定安全区（qū）域（yù），防止非（fēi）授权访问、破坏、干扰商务场所（suǒ）和（hé）信（xìn）息；通过保障设备安（ān）全，防止（zhǐ）资（zī）产的丢失、破坏、资（zī）产危害及商务（wù）活动的中断（duàn）；采用通用的控（kòng）制方式，防止信（xìn）息或信息（xī）处理设施损坏或失窃； 

· 通信和操作方式管（guǎn）理：明确操（cāo）作程序及（jí）其责任，确保信息处（chù）理设施的正（zhèng）确、安全操作；加（jiā）强系统（tǒng）策划与验收（shōu），减少系统失（shī）效风险（xiǎn）；防范恶意软件以保持软件和信（xìn）息的完整性；加强（qiáng）内务管理以保持信息处（chù）理（lǐ）和通讯服（fú）务（wù）的完（wán）整性和（hé）有效性通过 ; 加强网络管理确保网（wǎng）络（luò）中的（de）信息安（ān）全及（jí）其辅助（zhù）设施受到（dào）保（bǎo）护（hù）；通过保护媒体处理的安（ān）全 , 防止资产损坏和商务活动的中断（duàn）；加（jiā）强信息和软件（jiàn）的交换的管（guǎn）理，防止组织间在交（jiāo）换信息时发生丢失、更改（gǎi）和误用； 

· 访问（wèn）控制：按照访问（wèn）控制的商务要求，控（kòng）制信息（xī）访问（wèn）；加强用户访（fǎng）问管（guǎn）理，防（fáng）止非授权访问信（xìn）息系（xì）统；明确用户职（zhí）责，防止非授（shòu）权的用户访（fǎng）问；加强网络访问（wèn）控（kòng）制，保护（hù）网络服（fú）务程序；加强（qiáng）操作（zuò）系统访问控制 , 防止非（fēi）授权的计算机访问；加强应用（yòng）访问控制，防止非授权访（fǎng）问系统中（zhōng）的信息；通过监控系统的访问与使用，监测非授权行为；在移动式（shì）计算和电传工作方面（miàn） , 确保使用移动式计算和电传（chuán）工（gōng）作设施的（de）信息（xī）安（ān）全； 

· 系统开发与维（wéi）护：明确系统（tǒng）安全要求，确保（bǎo）安全性已构成（chéng）信息系统的一部（bù）份（fèn）；加强应用系统的（de）安全，防止应用系统用户（hù）数（shù）据的（de）丢失、被修改或误用（yòng）；加（jiā）强密码技（jì）术控制，保护信息（xī）的保密性、可靠（kào）性或完（wán）整性；加（jiā）强系（xì）统文件的安（ān）全，确保 IT 方案及其支持活动（dòng）以安全的方式进行；加（jiā）强（qiáng）开发（fā）和（hé）支持过（guò）程（chéng）的安全，确保应用系统软件和信息的安全（quán）； 

· 商务连续性管理（lǐ）：防止（zhǐ）商务活动的中断及保护关键商务过（guò）程不受重大失误或灾难（nán）事故的影响； 

· 符合（hé）：符合法律法（fǎ）规（guī）要求，避免刑法、民法、有关法（fǎ）令法规或合同约定（dìng）事宜（yí）及其他（tā）安全要求的规定相（xiàng）抵触；加强安全方针（zhēn）和技术符合（hé）性评审，确保体系按照组织的安全方（fāng）针及标准执（zhí）行；系统审核考虑因素，使效果较大化 , 并使系统审核过程的影响（xiǎng）较小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现信息安全认证所需（xū）的各（gè）项措施的（de）详细（xì）指导，具有很强的可操作性和指导性。

归根结底，信息（xī）安全工作的目的（de）就是在法律、法规、政（zhèng）策（cè）的（de）支持与指导下（xià），通过采（cǎi）用合适的安全（quán）技术与安全管（guǎn）理措（cuò）施，提供安全需求的保证，而（ér） BS7799 信息安全认证标准正是（shì）总和了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系（xì）要求（qiú）》是关于信息安全管理（lǐ）的标准，是标准不是方法（fǎ），达到这些标准的（de）要求并不难，重要的是（shì）用什么方法去实现。企业应将实施标（biāo）准作为改善内部管理的一次（cì）机（jī）会，不应（yīng）该（gāi）将标准（zhǔn）做为（wéi）一（yī）种简单的模式对（duì）现有流程运（yùn）作进行套（tào）用，应对现（xiàn）有的组织运作流程进行详（xiáng）细分析，有针对性地设计并（bìng）改（gǎi）善现有（yǒu）管理体（tǐ）系、改善薄（báo）弱环节、改善运作流程及内部沟通（tōng），并有效地将好的（de）管理（lǐ）思想融合到具（jù）体的（de）实（shí）施程序中，才能发挥（huī）标准的真正作用。

获（huò）得认证证书不是（shì）zui终目的（de），建立有责（zé）、有序、有效的（de）信息安全管（guǎn）理体系（xì），提（tí）高员工的信息安（ān）全意识，不断获取并运（yùn）用好（hǎo）的管理方（fāng）法和（hé）技术手段才能（néng）使企（qǐ）业的信（xìn）息（xī）安全管理水平得以持续（xù）的发展（zhǎn）和提升。