BS7799-2：2002信息（xī）安全管理体系（xì）规范向组织提出了一系列认证的要求，在总则中提出组织应建立并保持一个文件化的信息安全（quán）管（guǎn）理体系，阐述被（bèi）保护（hù）的资（zī）产（chǎn）、组织（zhī）风险管理的渠（qú）道、控制目标及（jí）控（kòng）制方式和需（xū）要（yào）的保证等级；通过建立管理架构（gòu）并加以实施来达到（dào）识别控制目标和控制方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全（quán）方（fāng）针（zhēn）：为信息安全提供管理指导和支持（chí）； 

· 组（zǔ）织安全：建（jiàn）立（lì）信（xìn）息（xī）安（ān）全架（jià）构（gòu），保（bǎo）证组（zǔ）织的内（nèi）部（bù）管（guǎn）理；被第三方访问或外协时，保障组织的信息安全（quán）； 

· 资产的归类与控制：明确资产（chǎn）责任，保持对（duì）组织资产的（de）适当保护；将信息进行（háng）归类，确保信息资产受到适当（dāng）程度的保护； 

· 人员（yuán）安全：在（zài）工（gōng）作说（shuō）明和资（zī）源方（fāng）面，减少因人为错（cuò）误（wù）、盗窃、欺（qī）诈和设施误用造成（chéng）的风险；加强用户培训，确保（bǎo）用户清楚知道信息安（ān）全的危险性和相关事项，以便在他们的日常工（gōng）作中（zhōng）支（zhī）持组织（zhī）的（de）安全方针（zhēn）；制（zhì）定安全事故或（huò）故障的反应程序，减少由安全事（shì）故和（hé）故障造成的（de）损（sǔn）失，监控安全事件并从这（zhè）种事件中吸取（qǔ）教训； 

· 实物（wù）与环境安全：确（què）定安全区域，防（fáng）止（zhǐ）非授权访问、破坏、干扰商务场所和信（xìn）息；通过（guò）保障设备（bèi）安全，防止资（zī）产的丢失（shī）、破坏、资产（chǎn）危害及商务活动的中断（duàn）；采用通用的控制方式，防止信息或信息处理（lǐ）设施损（sǔn）坏或失窃； 

· 通信和操（cāo）作（zuò）方式管理（lǐ）：明确操（cāo）作程序及其责任，确保信息处理设（shè）施的正（zhèng）确、安全操作；加（jiā）强系统策划与验收，减少系统失（shī）效风险；防范恶意软件（jiàn）以保持软（ruǎn）件（jiàn）和信（xìn）息的完整性；加（jiā）强内务管（guǎn）理以保（bǎo）持（chí）信息处理和通讯（xùn）服务的完整性和有效性通过 ; 加（jiā）强网络（luò）管（guǎn）理确保网络中的信息安（ān）全及其辅（fǔ）助设施（shī）受到保护；通过（guò）保（bǎo）护（hù）媒体处理的安全 , 防止（zhǐ）资产（chǎn）损坏和（hé）商务活（huó）动的中断；加强（qiáng）信息和软（ruǎn）件的交换的管理，防止组织（zhī）间在交换（huàn）信息时发生丢失、更改和误用； 

· 访问控制：按照访问控制的商（shāng）务要求，控制（zhì）信息访问；加强用户（hù）访问管理，防止非授权访问信息系统（tǒng）；明确用户职责（zé），防止非授权的（de）用户访问；加强（qiáng）网络访问（wèn）控制，保护（hù）网络服务程序；加强操作系统访（fǎng）问控制 , 防止非授权的计（jì）算机（jī）访问；加强应用访（fǎng）问控制，防止（zhǐ）非授权访问系统中的（de）信息；通（tōng）过监控系统的（de）访问与使（shǐ）用，监测（cè）非授权行为；在移动式（shì）计（jì）算和电传（chuán）工作方面 , 确保使用移（yí）动式（shì）计算和电传工作设施的（de）信息安全； 

· 系统开发（fā）与维护：明确系统安全（quán）要求，确保安全性已构成信息系统的一部份；加强应用系统的安（ān）全，防（fáng）止（zhǐ）应用系统用户数据的丢失、被修改或误用；加（jiā）强密码技术控制，保护信（xìn）息的保（bǎo）密性、可靠性或完整性；加强系（xì）统（tǒng）文（wén）件的（de）安全，确保 IT 方案及其支持活（huó）动以安全的方（fāng）式（shì）进（jìn）行；加（jiā）强开发（fā）和（hé）支持过程的安全，确保（bǎo）应用系统软件和信（xìn）息的安全； 

· 商务连（lián）续性（xìng）管理（lǐ）：防止（zhǐ）商务活动的中断及保（bǎo）护关键商务过程不（bú）受重大失误或（huò）灾（zāi）难事故（gù）的影（yǐng）响； 

· 符（fú）合：符合（hé）法律（lǜ）法规要求（qiú），避免刑（xíng）法、民法、有关法令（lìng）法（fǎ）规（guī）或合同约定事宜及其他安全要求的规定相抵触；加强（qiáng）安全方针和技（jì）术符合性评审，确（què）保体系按照组织的安全（quán）方针及（jí）标准执行（háng）；系（xì）统审核考虑因素，使效（xiào）果较大化 , 并使（shǐ）系统审核过程的影（yǐng）响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现信息安全认证所需的各项措（cuò）施的详（xiáng）细指导（dǎo），具有很强的可操作性和指（zhǐ）导性（xìng）。

归根结底，信（xìn）息安（ān）全工作的目的就是（shì）在法律、法规、政策的支持（chí）与（yǔ）指导（dǎo）下，通过采（cǎi）用（yòng）合适（shì）的安全技术（shù）与（yǔ）安全管理措施，提供安全需求的保（bǎo）证，而 BS7799 信息安全认（rèn）证（zhèng）标准正是总和了这些要求。组（zǔ）织（zhī）可以根据自身特点，在 ISO/IEC 17799 指导（dǎo）下（xià），实现信息安全（quán）的（de）要求。

 ISO27001：2005 《信息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理（lǐ）体系要求（qiú）》是关于信息安（ān）全管理的标准（zhǔn），是标准不（bú）是方法，达到这些标准的要求并不难，重（chóng）要（yào）的是用（yòng）什（shí）么方法去（qù）实现（xiàn）。企业应（yīng）将实施标准作（zuò）为改（gǎi）善（shàn）内部管理的一（yī）次机会，不应该将标（biāo）准做为一（yī）种简单（dān）的模式（shì）对现有流程运作进行套用，应对现有的组织运作流程进行详细（xì）分析，有针对性（xìng）地（dì）设计并改善现有管理体（tǐ）系、改善（shàn）薄弱环节、改善运作流程（chéng）及内部沟通，并有效地将好（hǎo）的管理思想融合到具体的实（shí）施程（chéng）序中（zhōng），才能（néng）发挥标准的真（zhēn）正作用。

获得认证证书不是zui终目的，建立有责（zé）、有序、有（yǒu）效（xiào）的信息安全管理体系，提（tí）高员工的信息安全意识，不断获（huò）取并运（yùn）用好的管（guǎn）理（lǐ）方法和技术手段才能使企业的信息安（ān）全管理（lǐ）水平得以持续的发（fā）展和提升。