BS7799-2：2002信息安全管理（lǐ）体系规范（fàn）向组织提（tí）出了一（yī）系列认证的要（yào）求，在总则中提出组织应建立并（bìng）保持（chí）一（yī）个文件化的（de）信息安（ān）全管理体系，阐述被保护的（de）资（zī）产、组织风险管理的渠道、控制目标及控制方（fāng）式和需要的保证等（děng）级；通过建立管理架构并加以实施（shī）来达到识别控（kòng）制目标（biāo）和控制方式，并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面： 　

· 安全方针（zhēn）：为信（xìn）息安全（quán）提供管理指导和支持； 

· 组织安全：建立信息安全架（jià）构，保证组织的内部（bù）管理；被（bèi）第（dì）三方访问或外协时，保障组（zǔ）织的信（xìn）息安全（quán）； 

· 资（zī）产（chǎn）的归类与控制：明确资产责任，保持对组织资产的适当保护；将信（xìn）息进行归类，确（què）保信息资产（chǎn）受到适当程度的（de）保（bǎo）护（hù）； 

· 人员安全：在工作说（shuō）明（míng）和资源方面，减少因人为错误、盗窃、欺诈和设施误（wù）用造成的风（fēng）险；加强用户培训，确保用户清楚知道信息安全的危险性和（hé）相（xiàng）关事项（xiàng），以便在（zài）他们的日常工作（zuò）中（zhōng）支持（chí）组织的安全方针；制（zhì）定安（ān）全事故或故障（zhàng）的反应程序，减少由安全事故和故障造成（chéng）的损失，监控安全事件（jiàn）并从这（zhè）种事件（jiàn）中（zhōng）吸取教训（xùn）； 

· 实物与（yǔ）环（huán）境安全：确定安全（quán）区域，防止非授（shòu）权（quán）访问、破坏、干扰（rǎo）商务场所（suǒ）和信息；通（tōng）过保障设备安全（quán），防（fáng）止资产的丢失（shī）、破（pò）坏、资产危害及（jí）商务活动的中断；采用通（tōng）用的控制方式，防止信息或信息（xī）处理设（shè）施（shī）损坏或失窃（qiè）； 

· 通信和操（cāo）作方式管（guǎn）理：明（míng）确（què）操作程序（xù）及其责任（rèn），确保信息处理设施的正确、安全（quán）操作；加强系统（tǒng）策划与验收，减少系统失效风险；防范恶意软件以保持（chí）软件和信（xìn）息的完整性；加（jiā）强（qiáng）内务管理以保持信（xìn）息处理和（hé）通（tōng）讯服务（wù）的完整性和有效性通过 ; 加强网络管理确保（bǎo）网络中的信息（xī）安全及其辅助（zhù）设施（shī）受到保护；通过保护媒体处（chù）理的安全 , 防止资产损坏和商务活动的中断；加（jiā）强信（xìn）息和软件的交换的管理，防止组织间在交换信息（xī）时发生丢（diū）失、更改和（hé）误用； 

· 访问（wèn）控（kòng）制：按（àn）照访问控制的（de）商务（wù）要求，控制（zhì）信（xìn）息访问；加强用户（hù）访（fǎng）问管理，防止非授权访问信息系统；明确（què）用户职责，防止非授权的用户访问；加强网络访问控制（zhì），保护网络（luò）服务程序；加（jiā）强操作系统访问（wèn）控制 , 防止（zhǐ）非授权的计算机访问；加强应（yīng）用访（fǎng）问控制，防（fáng）止非授权访问系统中的信（xìn）息；通过监控系统的访问与使用，监测非授权行（háng）为（wéi）；在移动式计算（suàn）和电传（chuán）工作方面 , 确保使用移动（dòng）式计算和电传工（gōng）作设施的（de）信息安全； 

· 系统开发与维护：明确系统安（ān）全（quán）要求，确保（bǎo）安全性已构成信息系统（tǒng）的一部份；加强应用系统的安全，防止应用（yòng）系统（tǒng）用（yòng）户（hù）数据的丢失、被修（xiū）改或误用；加强密码技术控制，保护信息的保密性、可靠（kào）性或（huò）完整性；加强（qiáng）系统文件的（de）安全，确保 IT 方（fāng）案及其支（zhī）持活动以安全的方（fāng）式进行（háng）；加强（qiáng）开发和支持（chí）过程的安全，确保（bǎo）应用系统软（ruǎn）件和信（xìn）息的安全； 

· 商务连续性管理（lǐ）：防止商（shāng）务活动的中断及保护关键商（shāng）务过程不受重大失误或灾（zāi）难事故的影响； 

· 符合（hé）：符合法（fǎ）律法规要求，避免刑法、民法、有关法令法规或合同约定事宜（yí）及（jí）其他安全要求（qiú）的规（guī）定（dìng）相抵触；加强安全方针和技术符合性评审（shěn），确保体（tǐ）系按照组织的安（ān）全方针及标准执行；系统（tǒng）审核考虑（lǜ）因素，使效果较大化 , 并使系统审核过程（chéng）的影响较小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信息安（ān）全认证所（suǒ）需的各项措施的详（xiáng）细指（zhǐ）导，具有很强的可操（cāo）作性和指导性。

归根结底（dǐ），信息安全工作的目的就是在法律、法规、政策的支持与指（zhǐ）导下，通过采用合（hé）适（shì）的（de）安全（quán）技术与（yǔ）安全管理措施（shī），提供（gòng）安全需（xū）求的保证（zhèng），而 BS7799 信息安全认证标准正（zhèng）是总和了（le）这些要求。组织可以根（gēn）据自身特点，在 ISO/IEC 17799 指导下，实现信（xìn）息安（ān）全的要求（qiú）。

 ISO27001：2005 《信息安（ān）全（quán）管理体系要求（qiú）》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的标准（zhǔn），是标准不是方法，达到这些标准的（de）要求并不难，重要的（de）是用（yòng）什么方（fāng）法去实现。企（qǐ）业应将实施标准作为改善内部管理的一次机会，不应（yīng）该将标准做为一种简单的模式对现有流程运作进行套（tào）用，应（yīng）对现（xiàn）有的（de）组织（zhī）运（yùn）作（zuò）流程（chéng）进（jìn）行（háng）详细（xì）分析（xī），有针对性地设计并改善现有管理体（tǐ）系、改（gǎi）善薄弱环节、改善运作流程及内部沟通（tōng），并有（yǒu）效地将好的管理思（sī）想融合到具体（tǐ）的（de）实施程序中，才能（néng）发挥标准的真（zhēn）正作用。

获得认证证书不是（shì）zui终目（mù）的，建立有（yǒu）责、有（yǒu）序、有（yǒu）效的信息安全（quán）管理（lǐ）体（tǐ）系，提（tí）高（gāo）员工的信息（xī）安全意识，不（bú）断获取并运用（yòng）好的（de）管理方法和技术手段才（cái）能使企业的信（xìn）息安全管理（lǐ）水平得（dé）以持（chí）续的发展（zhǎn）和提升。