BS7799-2：2002信息安（ān）全管理体系规（guī）范向组（zǔ）织提出了一系列认（rèn）证的要求，在（zài）总则中提出组织应建立并（bìng）保持一个（gè）文（wén）件化的（de）信息安全管理（lǐ）体系，阐述被保护的资产、组织风险管理（lǐ）的渠道（dào）、控制目（mù）标（biāo）及控制方式（shì）和需要的保（bǎo）证（zhèng）等级；通过建立（lì）管理架构并加以（yǐ）实施（shī）来达到识别（bié）控制目标和（hé）控制方式（shì），并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括10个方面： 　

· 安（ān）全方针：为信（xìn）息安全提供管理指导和支持； 

· 组织安全：建立信息（xī）安全架构，保证组织的（de）内部管理；被第三方（fāng）访问或（huò）外协时，保障组（zǔ）织（zhī）的（de）信息（xī）安全； 

· 资产的归类（lèi）与（yǔ）控制：明确资（zī）产责任，保持（chí）对组织资（zī）产的（de）适当保护；将（jiāng）信息（xī）进行归类，确保信息资产（chǎn）受到适当程度的保护； 

· 人员安全：在工作说（shuō）明和（hé）资（zī）源方面，减少因（yīn）人为错误、盗窃、欺诈（zhà）和设施误用造（zào）成（chéng）的风（fēng）险（xiǎn）；加强用户培训，确保（bǎo）用户清（qīng）楚（chǔ）知道信息安全的危险性和（hé）相关（guān）事项，以便在他们（men）的日常（cháng）工作中支持组织（zhī）的安全方针；制定安全事故或故障的反应程序（xù），减少由安全事（shì）故和故障造成的损失，监（jiān）控安全事件（jiàn）并从这种事件中（zhōng）吸取教训； 

· 实物（wù）与环境安（ān）全：确定安（ān）全区域（yù），防止（zhǐ）非授权访（fǎng）问、破坏（huài）、干扰（rǎo）商务场（chǎng）所和信息；通过保障设备安全，防止（zhǐ）资产的丢失、破坏、资产危害及商务（wù）活动（dòng）的中断；采用通（tōng）用的控制（zhì）方式（shì），防止信息或信息（xī）处理设施损坏或失窃； 

· 通信和操作方式管理：明（míng）确操（cāo）作程序及其责任，确（què）保信（xìn）息（xī）处理设（shè）施的正确（què）、安全操作；加（jiā）强系统策划与验收，减少系统失效风险；防（fáng）范恶意软（ruǎn）件以保持软件和信息的完整性；加强内务（wù）管（guǎn）理以保（bǎo）持信（xìn）息处理和通讯（xùn）服务的（de）完整性和（hé）有效性通过 ; 加强网络管理确保网络中的信息（xī）安全及其辅助设施受到保护；通过保护（hù）媒体（tǐ）处理的安全（quán） , 防（fáng）止资产损坏（huài）和商务活动的中断（duàn）；加强信息和软（ruǎn）件（jiàn）的交换的（de）管理（lǐ），防（fáng）止组织间（jiān）在（zài）交换信息时发生丢失、更改和误用； 

· 访问（wèn）控制（zhì）：按照访（fǎng）问控（kòng）制的商务要求（qiú），控制信息访问（wèn）；加（jiā）强（qiáng）用（yòng）户访问管理，防止非授（shòu）权访问信（xìn）息（xī）系统；明确（què）用户职责（zé），防（fáng）止非授权的用户访问；加强网络访问控制，保护网络（luò）服务（wù）程序；加强操（cāo）作（zuò）系统访（fǎng）问控制 , 防（fáng）止非授权的计算机访问；加强（qiáng）应用访问控制，防止非授权访问系统中的信息；通（tōng）过监控系统的访问与使用（yòng），监测非授权行为；在移（yí）动（dòng）式（shì）计算（suàn）和电传工作方（fāng）面 , 确保使用移（yí）动式计算和电传工作（zuò）设施的信息安全； 

· 系统开（kāi）发与维护：明确系统安全要求，确保安全性已构成信息系统的一部份（fèn）；加强应用系统的安（ān）全，防（fáng）止应用系统用（yòng）户（hù）数据的丢失、被修改或误用；加强密（mì）码技术（shù）控制，保护信息的（de）保密（mì）性、可靠性或完整性；加（jiā）强（qiáng）系统（tǒng）文件的（de）安全（quán），确保 IT 方案及其（qí）支持活动以安全的（de）方式进行；加强开发（fā）和（hé）支持过（guò）程的（de）安全，确保应用系统软件和信息的安全（quán）； 

· 商务连续性管（guǎn）理：防止商务活（huó）动的中断及保护关键（jiàn）商务过程不受重（chóng）大失误或灾难事故的影响（xiǎng）； 

· 符合：符合法律法规要求，避免刑法、民法（fǎ）、有关法令法规（guī）或合同约定事宜及其（qí）他安全要求的规定相（xiàng）抵触；加强安全方针和技术符合（hé）性评（píng）审，确保体系按照（zhào）组织的（de）安（ān）全方针及（jí）标（biāo）准执行；系统审（shěn）核考虑因素（sù），使（shǐ）效（xiào）果较大（dà）化（huà） , 并使系统审核过程的影响较（jiào）小化。 　 

在国（guó）际（jì）标准 ISO/IEC17799 给出（chū）了（le）为实现信息（xī）安（ān）全认证所需的（de）各项措施的详细指导，具（jù）有（yǒu）很（hěn）强的可操作性（xìng）和指（zhǐ）导性。

归根结（jié）底，信息安全工作的（de）目的（de）就是在法律、法（fǎ）规、政策的支（zhī）持与指导下，通过（guò）采用（yòng）合适的（de）安（ān）全技术与安全管理措（cuò）施，提（tí）供安全需求的保证，而 BS7799 信息安全认证标（biāo）准正是（shì）总和了这些（xiē）要求。组织（zhī）可以根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现信息安全的（de）要（yào）求。

 ISO27001：2005 《信息安（ān）全（quán）管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于（yú）信息安全管理的标准，是标准不是方（fāng）法，达到（dào）这些标准的要求并不难，重要的（de）是用什么方法去实现。企业应将实施标准作（zuò）为改善内部管理（lǐ）的一次机会，不应该将（jiāng）标准做为一种（zhǒng）简单的模（mó）式对现有流程（chéng）运（yùn）作（zuò）进行套用，应对现有的组织运（yùn）作流（liú）程（chéng）进行详（xiáng）细分析，有针对性地设计并改善现有（yǒu）管理（lǐ）体系、改善薄弱环节、改（gǎi）善运作流程及内部沟通（tōng），并有效地将好的管理思想（xiǎng）融合到具体（tǐ）的实施程序中，才能发挥标准的真正作用。

获得认证证（zhèng）书不是zui终目的，建立（lì）有责、有序、有（yǒu）效的信息安（ān）全管理体系，提高员工的信息安（ān）全意识，不断（duàn）获（huò）取并运（yùn）用好的管理（lǐ）方法和（hé）技术手段才（cái）能使企业的信息安全管（guǎn）理水平得以持（chí）续的（de）发展和提升。