BS7799-2：2002信息安全管理体系规范向组（zǔ）织提出了一（yī）系列认（rèn）证的要求，在（zài）总则中提出组织（zhī）应建（jiàn）立并（bìng）保（bǎo）持一个（gè）文件化的信息安全管理体系，阐述被保护的资产、组织风险管理的渠道、控制（zhì）目标及控制（zhì）方式和需（xū）要（yào）的保证等级（jí）；通（tōng）过建立管理架构并加以（yǐ）实施来达到识别（bié）控制目标和控制（zhì）方式，并形成文件和记录。

BS7799-2：2002的控制细则包括10个（gè）方面（miàn）： 　

· 安全方针：为（wéi）信息安（ān）全提供管（guǎn）理指导（dǎo）和支持； 

· 组（zǔ）织安全：建立信息安全架构，保证（zhèng）组织的内部（bù）管（guǎn）理；被第三方访问或外协时，保障组织的信息安全； 

· 资（zī）产的（de）归类与控制：明确资（zī）产责任，保持（chí）对组织资（zī）产的适（shì）当保护；将（jiāng）信息（xī）进行归（guī）类，确保（bǎo）信息资产受到适当程（chéng）度的保（bǎo）护； 

· 人员安（ān）全：在工作（zuò）说明和资源方面，减（jiǎn）少因人为错误（wù）、盗窃、欺诈（zhà）和设（shè）施误（wù）用造成的风（fēng）险；加（jiā）强用户培训，确保（bǎo）用（yòng）户清楚知道信息安全的危（wēi）险性和相关事项（xiàng），以便在他们（men）的日常（cháng）工作中支持（chí）组织的（de）安全方针；制定安全事故或故障的反（fǎn）应程序，减少（shǎo）由安（ān）全（quán）事故和故障（zhàng）造成的损失，监控安全事件并从这种事件中吸取教训； 

· 实（shí）物与环境安全：确定安全区域，防止非授权访问、破坏、干（gàn）扰商务场所（suǒ）和（hé）信息（xī）；通（tōng）过保障设备安（ān）全，防止资产（chǎn）的丢失、破坏、资产危（wēi）害及商务活动的中（zhōng）断；采（cǎi）用（yòng）通用的控制方式，防止信息或（huò）信息处理设（shè）施损坏或失窃； 

· 通信和操作（zuò）方式管理（lǐ）：明确操作（zuò）程序及其（qí）责任，确保（bǎo）信息处理设施的正确、安全操作；加强（qiáng）系统（tǒng）策划与（yǔ）验收，减少系（xì）统失效风（fēng）险；防范恶意软件以保持软件和信息的（de）完整性；加强内务（wù）管理以保持信息处理（lǐ）和（hé）通讯服务的完整性和有效性通过 ; 加强网络管理确保网络中的信（xìn）息（xī）安（ān）全及其辅助设施受到保护；通过（guò）保护媒体处理的安（ān）全 , 防止资（zī）产损坏和（hé）商务活动的中（zhōng）断；加（jiā）强信息和软件的交换的（de）管理，防（fáng）止组织（zhī）间在交换信息时发（fā）生丢失、更改和误用； 

· 访问（wèn）控制：按照（zhào）访问控（kòng）制的商务要求，控制（zhì）信（xìn）息访问；加强用户访问（wèn）管（guǎn）理，防（fáng）止非授权访问（wèn）信息系统（tǒng）；明确（què）用（yòng）户职责，防止非（fēi）授权的用户访问；加强网络访问控制，保护网（wǎng）络服务程序；加强（qiáng）操作系（xì）统（tǒng）访问控制 , 防止（zhǐ）非授权（quán）的计（jì）算机访问；加强应用访问控制，防止非授权访问（wèn）系（xì）统（tǒng）中（zhōng）的信息；通过监控系统的访问（wèn）与使用（yòng），监测非授权（quán）行为；在移动式计算和电传工作方面 , 确保使用移（yí）动式计算和电传工作（zuò）设施的信（xìn）息安全； 

· 系统开发与维护：明确（què）系统安全要（yào）求，确保安全性已构成（chéng）信息（xī）系统的一（yī）部份；加（jiā）强应用系统的安全，防（fáng）止应用系统用户数（shù）据的丢失（shī）、被修改或误（wù）用（yòng）；加强密码技术控制，保护信（xìn）息的（de）保密性、可靠性或完整性；加（jiā）强系统文件的安全，确保 IT 方案及其支持活动以（yǐ）安全的方式进行（háng）；加强开（kāi）发和（hé）支持过（guò）程的安全，确保（bǎo）应用系统软件和（hé）信（xìn）息的安全； 

· 商务连续性管理：防（fáng）止商务活动的中断及保护关（guān）键商务过程不（bú）受重大（dà）失（shī）误或灾难事故（gù）的影响（xiǎng）； 

· 符合：符合（hé）法律（lǜ）法规要求（qiú），避免刑法、民（mín）法、有关法令（lìng）法规（guī）或合（hé）同约定事宜及其他安全要求的规定相抵触；加强安（ān）全方针和技术符（fú）合性评审，确保体（tǐ）系按（àn）照组织的安全方针及标准执（zhí）行；系（xì）统（tǒng）审核考虑因素，使（shǐ）效（xiào）果较大化 , 并使系统审核过程（chéng）的影响较小化（huà）。 　 

在国际标准 ISO/IEC17799 给出了为（wéi）实现（xiàn）信息安全认证所需的各项措施的详细指导（dǎo），具有很强的（de）可操作性（xìng）和指导性。

归根结底，信息安全工作的（de）目的（de）就（jiù）是在法（fǎ）律（lǜ）、法规、政策的支持与指导下，通（tōng）过采用合适的安全技术与安（ān）全管（guǎn）理措（cuò）施，提供（gòng）安全（quán）需求的保证，而 BS7799 信息安全认证标准正是总和了这些要求（qiú）。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导（dǎo）下，实现信息安全（quán）的要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信息安全管理体（tǐ）系要求》是关于信息安（ān）全管理的标准，是标准（zhǔn）不是方法，达到这些标准的（de）要求（qiú）并不难（nán），重要的（de）是用什么方法去实现。企业应（yīng）将实施标准（zhǔn）作（zuò）为改善内部管理（lǐ）的一（yī）次（cì）机会，不应该将（jiāng）标准做为一种（zhǒng）简单的模式对现有流程运作进行套（tào）用，应对（duì）现有的组（zǔ）织运作（zuò）流程进行（háng）详（xiáng）细分析，有针（zhēn）对（duì）性地设计并改善（shàn）现有管理体（tǐ）系（xì）、改善薄弱环（huán）节、改善运（yùn）作流程及（jí）内部（bù）沟通，并（bìng）有效地（dì）将好的（de）管理思想融合到具体的实施程序中，才能发挥标准的真正（zhèng）作用。

获得（dé）认（rèn）证证书不是zui终（zhōng）目的（de），建（jiàn）立有责、有序、有（yǒu）效的信息安（ān）全管（guǎn）理体系，提高员（yuán）工的信息安全意识，不（bú）断获取并运（yùn）用好的管理方法和技术（shù）手段才能使企业（yè）的信息安（ān）全管理水平得以持续的发展和提升。