BS7799-2：2002信息安（ān）全管理体系规范向组织提出了一系列（liè）认证的要（yào）求，在总则（zé）中提出组（zǔ）织应建立并保持一个文件化的信息安全管理（lǐ）体系，阐（chǎn）述被保护的（de）资（zī）产、组织风险管理的渠道（dào）、控（kòng）制目标及控（kòng）制（zhì）方式和需要的保证等级；通过建立（lì）管理架（jià）构并加以实施来达到识别控制目标和控制方（fāng）式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个方面： 　

· 安全方针：为信息（xī）安全提供管理（lǐ）指（zhǐ）导和支持（chí）； 

· 组织安全：建立信息安全架构（gòu），保证组（zǔ）织（zhī）的内部管（guǎn）理；被第三方访问或外协时，保障组织（zhī）的信息安全； 

· 资产的归类与控制：明确资产责任，保持对组织资产的适（shì）当保（bǎo）护；将信（xìn）息进行归类（lèi），确（què）保（bǎo）信息资产受到适当程度的（de）保护（hù）； 

· 人（rén）员安全：在工作说（shuō）明和资源方面，减少因人为错（cuò）误、盗窃（qiè）、欺诈和（hé）设施误用造成的风险；加强（qiáng）用户培训，确保用（yòng）户（hù）清楚（chǔ）知道信息安全的危（wēi）险性和相关事项，以便在他（tā）们的日常工作中支持组织的（de）安全（quán）方（fāng）针；制（zhì）定安（ān）全事（shì）故（gù）或故障（zhàng）的反应程（chéng）序，减少由安全（quán）事故和故障造（zào）成的损失，监控安全事件并从（cóng）这种事（shì）件中吸取教（jiāo）训（xùn）； 

· 实物与环境安全：确定安（ān）全区域，防止（zhǐ）非授（shòu）权访（fǎng）问、破坏（huài）、干扰（rǎo）商务场所和信息；通过保（bǎo）障设（shè）备安全，防止资产的丢（diū）失（shī）、破坏、资（zī）产危害及商务活动的中断（duàn）；采用（yòng）通用的控制方式（shì），防止信息或信（xìn）息处理设施（shī）损坏或失窃； 

· 通信和操作方式管（guǎn）理：明确操作程序及其（qí）责任，确保（bǎo）信息处理设施的正（zhèng）确、安全操（cāo）作；加强（qiáng）系统策划与验（yàn）收，减少系（xì）统失效风险；防范恶（è）意软件以保持软件和信息的完整性；加强内务（wù）管理以保持信（xìn）息处理和通讯服务的完（wán）整性和有效性（xìng）通过 ; 加强网络管理确保（bǎo）网络（luò）中的信息安全及其辅助设施受到保护；通过（guò）保护媒（méi）体处理的安全（quán） , 防止资产损坏和商务活动（dòng）的中断；加强（qiáng）信息和（hé）软件的交换的（de）管（guǎn）理，防止组织间在交换（huàn）信息时发生丢失（shī）、更改和误用； 

· 访问（wèn）控制：按照访（fǎng）问控制（zhì）的商（shāng）务要求（qiú），控制信（xìn）息访问；加强用户访问管（guǎn）理，防止非授权访（fǎng）问信息（xī）系统；明确用户职（zhí）责，防止非授权的用户访问（wèn）；加强网络访问控制，保护网络（luò）服务（wù）程（chéng）序（xù）；加强操（cāo）作系统访问（wèn）控（kòng）制 , 防止非授（shòu）权的计算机访问；加强应（yīng）用访问（wèn）控制（zhì），防（fáng）止（zhǐ）非（fēi）授（shòu）权访问系统中（zhōng）的信息；通过（guò）监控系统（tǒng）的访问与（yǔ）使用，监测非授权行为；在（zài）移动式计算和电传工作方面 , 确（què）保使用移动式计算和电传（chuán）工作设施的信息安全； 

· 系统（tǒng）开发与（yǔ）维护：明确系统安全要（yào）求，确保安全性已构成信（xìn）息系统（tǒng）的一部（bù）份；加强（qiáng）应用系统的安全，防止应用系统用户数（shù）据的（de）丢失、被修改（gǎi）或误用；加强密（mì）码技（jì）术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保 IT 方案及其支持活动以安全的方（fāng）式进行（háng）；加（jiā）强开发和支持（chí）过程的安全，确保（bǎo）应用系统软（ruǎn）件和信（xìn）息的安（ān）全； 

· 商务连（lián）续性管理：防止商（shāng）务活动的中断（duàn）及保护关键（jiàn）商务过程不受重大失误或灾（zāi）难（nán）事故的影响； 

· 符合（hé）：符合（hé）法（fǎ）律（lǜ）法规要求，避（bì）免（miǎn）刑法、民法、有（yǒu）关法令（lìng）法规或合（hé）同约定（dìng）事宜及其他安全要（yào）求的规定相抵触；加强安（ān）全方（fāng）针和技术符合性评（píng）审（shěn），确保体系按照组（zǔ）织（zhī）的安全方针及（jí）标准执行；系统审核考虑因素，使效果较大化 , 并使系统审核过程（chéng）的影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给（gěi）出了为实（shí）现信息安（ān）全认证所需的各项措施的详细（xì）指导，具有（yǒu）很强的可操作性和指（zhǐ）导（dǎo）性。

归根结底（dǐ），信（xìn）息安全工作的目（mù）的就是在法（fǎ）律、法规、政（zhèng）策的支（zhī）持与指导下，通（tōng）过采用合适（shì）的安全技术（shù）与安（ān）全（quán）管理（lǐ）措施，提供安全需求（qiú）的保证，而 BS7799 信（xìn）息（xī）安全认证标（biāo）准正是总和了（le）这些要求。组织可以根据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信息安全的要（yào）求。

 ISO27001：2005 《信息安（ān）全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体系要（yào）求》是关（guān）于信息安（ān）全管理的标准，是标准不是方（fāng）法，达到这些标准的（de）要求并不难（nán），重要的是用什么方法（fǎ）去实（shí）现。企业应将实施标准（zhǔn）作（zuò）为改善内部（bù）管（guǎn）理的一次机会，不应该将标准做为一种简单的（de）模式对现有流程运作进（jìn）行套用，应对现有的组织运作流程进行详细分析，有针对（duì）性地设计并改善现有管理体系（xì）、改善薄弱环节、改善运（yùn）作流程及内部（bù）沟通，并有效地将好的管理思想融合到具体的实施程（chéng）序中，才能发挥标准的（de）真正（zhèng）作用。

获得认证证书不（bú）是zui终目的，建立（lì）有责、有序、有效的信息（xī）安全（quán）管理体（tǐ）系（xì），提高（gāo）员工的信息安全意识，不（bú）断（duàn）获取（qǔ）并运用好的管（guǎn）理（lǐ）方法和技（jì）术手段才能使企业的信息（xī）安全管（guǎn）理水平得以持续的发展和提升。