BS7799-2：2002信息（xī）安（ān）全（quán）管理体系规（guī）范向组织提出了一系（xì）列认（rèn）证（zhèng）的要（yào）求，在总（zǒng）则中提出组（zǔ）织应建立（lì）并保（bǎo）持一个文（wén）件（jiàn）化（huà）的信息安全（quán）管理体系，阐述被（bèi）保护的资产、组织风（fēng）险管（guǎn）理的渠道、控制目标及控制方式和需（xū）要的保证等级；通过建立管理（lǐ）架（jià）构并加以实施（shī）来达到识别控（kòng）制目标和控（kòng）制（zhì）方式，并形成文件和记录。

BS7799-2：2002的（de）控制（zhì）细则包（bāo）括10个方面： 　

· 安全方针（zhēn）：为信息安（ān）全提供管理指导和支持； 

· 组织安全：建立信（xìn）息安全架构，保证组织的（de）内部管理；被第三方访问或外协时（shí），保障（zhàng）组织（zhī）的（de）信息安全（quán）； 

· 资产的归（guī）类与控制：明确（què）资产责任，保（bǎo）持对（duì）组织资（zī）产的适（shì）当保护；将信息进（jìn）行（háng）归类，确保信息资（zī）产受到适当程度（dù）的保护； 

· 人员（yuán）安（ān）全：在工作说明和资源方面，减少因人（rén）为错误、盗窃（qiè）、欺诈和设（shè）施误用造成的风险（xiǎn）；加（jiā）强用户培训，确保用户清楚知道信息（xī）安全的危险性和相关事项，以（yǐ）便（biàn）在他们的日常工作中支持组织的（de）安全（quán）方（fāng）针；制定安全事故或故障的反应（yīng）程（chéng）序，减少由安全事故和故障造成的损失（shī），监控安全事件（jiàn）并（bìng）从（cóng）这（zhè）种事件中吸（xī）取教训； 

· 实物与环境安（ān）全：确定安（ān）全（quán）区域，防止（zhǐ）非授权访问、破坏、干（gàn）扰商（shāng）务场所和信息；通过（guò）保障设备安全，防止资（zī）产（chǎn）的丢失、破坏（huài）、资产危害（hài）及商（shāng）务活动的中（zhōng）断；采用通用的控制（zhì）方（fāng）式，防（fáng）止信（xìn）息或信息处理设施损坏或（huò）失窃； 

· 通信和操作方式管理：明确操作程序及其（qí）责任，确保信息处理设（shè）施（shī）的正确、安全操（cāo）作；加（jiā）强（qiáng）系统策划与（yǔ）验收，减少系（xì）统失效（xiào）风险；防范恶意软件以（yǐ）保持软件和信（xìn）息的完整性；加强内务（wù）管（guǎn）理以保持信息处理和通讯服务的完整（zhěng）性和有效（xiào）性通过（guò） ; 加（jiā）强网络管理确保网络中的信息（xī）安（ān）全及其（qí）辅助设施（shī）受（shòu）到保护；通过（guò）保护（hù）媒（méi）体处（chù）理的（de）安全 , 防止资产（chǎn）损坏和（hé）商务活动的中断；加强信息和软件的交换的管理，防（fáng）止组织间在交（jiāo）换信息（xī）时发生丢失、更改和误用； 

· 访问控制：按照访问控制的商（shāng）务要求，控制（zhì）信（xìn）息访问（wèn）；加强用户访问管理，防止非授权访问信息系统（tǒng）；明（míng）确用户职责，防（fáng）止非授权的用户访问（wèn）；加强网络访问控制（zhì），保护网络（luò）服务程（chéng）序；加强操作系（xì）统访问控制（zhì） , 防止非授（shòu）权的（de）计算机访问；加强应（yīng）用访问控制，防止（zhǐ）非授权访问系统中的信息；通过监控（kòng）系统的访（fǎng）问（wèn）与使用，监测非授权行为；在移动式计算和电传工作方面 , 确保使（shǐ）用移动式计算（suàn）和电传工作设（shè）施的信息安（ān）全； 

· 系统开发与维护：明确系统安（ān）全要求，确保安全性（xìng）已构成信息系统的一部份；加（jiā）强应用系统的（de）安全（quán），防止（zhǐ）应用系统用户数据的丢失、被修（xiū）改或误用；加强密（mì）码技术控制（zhì），保护信息的（de）保密性、可靠性或完整性（xìng）；加强系统文件的（de）安全，确保 IT 方案（àn）及其（qí）支（zhī）持活动以安全的方式进行；加强开（kāi）发和支持过（guò）程的安全，确保应用系统软件（jiàn）和信（xìn）息（xī）的安（ān）全； 

· 商务（wù）连续性管理（lǐ）：防止商（shāng）务（wù）活动（dòng）的中断及保（bǎo）护关键商务过程不受（shòu）重大失（shī）误或（huò）灾难事故（gù）的影（yǐng）响； 

· 符合（hé）：符合法律法规要求，避免刑法（fǎ）、民法、有关法令（lìng）法规或合（hé）同（tóng）约（yuē）定事（shì）宜及其他（tā）安（ān）全要求（qiú）的规定相抵触；加强（qiáng）安全方针（zhēn）和技术（shù）符合性评审（shěn），确保体系（xì）按照组织的安全方针及（jí）标准执（zhí）行；系统审核考虑因素，使效果较大化 , 并使系统审核（hé）过程（chéng）的影响（xiǎng）较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了为实现信（xìn）息安全认证所需（xū）的各项措施的详细指导，具（jù）有很强的可操作（zuò）性和指导性（xìng）。

归（guī）根（gēn）结底（dǐ），信息（xī）安（ān）全工作的目的就是在法律、法规、政策（cè）的支持与指导下，通过采用合（hé）适的（de）安全技（jì）术与安全管理措施，提供安全需（xū）求的保证（zhèng），而 BS7799 信息安全认证标准正是总和了（le）这些要求。组织可以根据自身（shēn）特点，在 ISO/IEC 17799 指导下，实（shí）现信（xìn）息（xī）安全的要求。

 ISO27001：2005 《信（xìn）息安全管（guǎn）理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安（ān）全管理的（de）标（biāo）准（zhǔn），是标准不是（shì）方法，达到（dào）这些标准（zhǔn）的要求并（bìng）不难，重（chóng）要的是用什么方法去实现（xiàn）。企（qǐ）业应将实施标准作为改善（shàn）内部管理的一次（cì）机会，不应该（gāi）将标准（zhǔn）做为一种简单的模式对现有流程运（yùn）作进行套用（yòng），应对现有（yǒu）的组织运作流程进行详细分（fèn）析，有针（zhēn）对性地设计并改善现有管理体（tǐ）系、改（gǎi）善薄弱环节、改善运作流程及（jí）内部沟通（tōng），并有效地（dì）将好（hǎo）的管理思想（xiǎng）融合到具体的实（shí）施程序中，才能发挥（huī）标准的真正（zhèng）作用。

获（huò）得认证证书不（bú）是zui终目的（de），建立有责、有序、有（yǒu）效的信（xìn）息安全管理体（tǐ）系，提高（gāo）员工的信（xìn）息安全意识，不断获（huò）取并（bìng）运用好的管理方法和技术手段才能使企业的（de）信（xìn）息安全（quán）管（guǎn）理（lǐ）水平（píng）得（dé）以持续的发展和提升（shēng）。