BS7799-2：2002信息安全管理体系（xì）规（guī）范（fàn）向组织提出（chū）了（le）一系（xì）列认证的要（yào）求，在总（zǒng）则中提出（chū）组织应建立并（bìng）保持一个文件化（huà）的（de）信息安全管理体系，阐述被保护的资产、组织风险管理的渠（qú）道、控（kòng）制目标及控制方式和需要的保证等级；通过建立管理架构并加以实施来达到（dào）识别控制目（mù）标和控制方式，并（bìng）形成文件（jiàn）和记（jì）录。

BS7799-2：2002的控制细则（zé）包括10个方面： 　

· 安全方针：为信息安全提供（gòng）管理指导和支持； 

· 组织安全：建立信息安（ān）全架构（gòu），保证组织的内部管（guǎn）理；被第（dì）三方访问或外协（xié）时（shí），保障组织的（de）信（xìn）息安全（quán）； 

· 资产的归类与控制：明确（què）资产责任，保持对组织资产的适当保护；将（jiāng）信息进（jìn）行归类，确（què）保信息资产受到适当程度的保（bǎo）护； 

· 人员安全：在工作说（shuō）明和资（zī）源方（fāng）面，减少（shǎo）因人为（wéi）错误、盗窃、欺诈（zhà）和设施误用造成的风险；加（jiā）强用户培训（xùn），确（què）保用户（hù）清楚知道信（xìn）息安全的危（wēi）险性和相关事项，以便在他（tā）们的日（rì）常工作中（zhōng）支持组织的安全方针；制定安全事故或故障的反应程序，减少由安（ān）全事故和故障（zhàng）造（zào）成的损失，监（jiān）控安全（quán）事件并从这种事件中吸取教训； 

· 实物与环境安全：确定（dìng）安（ān）全区域，防止非授权访（fǎng）问、破坏、干扰商务场所和信息；通过保障（zhàng）设备安（ān）全，防（fáng）止资产的丢失、破坏、资产危害及商（shāng）务活动的中断；采用通用的控制方式，防（fáng）止信息（xī）或信（xìn）息（xī）处理（lǐ）设施损（sǔn）坏或失窃（qiè）； 

· 通信和（hé）操作方（fāng）式（shì）管理：明确操作程序及（jí）其责任（rèn），确保信息处理设施的正确、安全操（cāo）作；加强系统策划（huá）与验收，减（jiǎn）少系统（tǒng）失效风险；防范恶意（yì）软件以（yǐ）保持软件和信息的完整性；加（jiā）强内务管理以保持信（xìn）息（xī）处理（lǐ）和通讯服务（wù）的（de）完整性和有（yǒu）效性（xìng）通（tōng）过 ; 加强网络管理确保网络（luò）中的信息安全及其辅助设施受到（dào）保护；通过保护媒（méi）体处理的安全 , 防止资产损坏和商（shāng）务活动的中断；加强（qiáng）信息和软件的（de）交换的管理，防止组织（zhī）间在交换信息时发生丢失、更改和误用； 

· 访（fǎng）问控制：按（àn）照访问控（kòng）制的商务要求（qiú），控制（zhì）信息访问；加强用户访问管理，防止非授（shòu）权访问信（xìn）息系统；明（míng）确用户（hù）职责，防止非授权的用户访问；加强网络访问控制，保护（hù）网络服务程序；加强操作系统访问控制 , 防止非授权的计算机访问（wèn）；加强（qiáng）应用访问控制，防止非授（shòu）权访问系（xì）统中（zhōng）的信息；通过监控系统的访问与使用，监测非授权行为（wéi）；在（zài）移动式计算和（hé）电传工作方面（miàn） , 确（què）保使用移（yí）动式（shì）计算和（hé）电传工作设（shè）施的信息安全； 

· 系统开（kāi）发与维护：明确系统安（ān）全要求，确保安全性已构成信（xìn）息（xī）系统（tǒng）的（de）一（yī）部份；加强应用（yòng）系（xì）统的安全，防（fáng）止应用（yòng）系（xì）统用（yòng）户数据的丢失、被（bèi）修改或误用；加（jiā）强密码技（jì）术控制，保护信（xìn）息的保密性、可靠性或完整性；加强系统文（wén）件的（de）安全，确保 IT 方（fāng）案及其支持活（huó）动（dòng）以安（ān）全的方式（shì）进行；加强开发和支持过（guò）程的安（ān）全，确保应用系（xì）统软件和信息的安全； 

· 商务连（lián）续性（xìng）管理：防止商务活动的中断及保护关（guān）键商务过程不受重大失误或灾难事（shì）故的影（yǐng）响； 

· 符合：符合法律法规要（yào）求，避（bì）免刑法、民法、有关法令法规或（huò）合同约定事宜及其（qí）他安（ān）全要求的（de）规定相抵触；加（jiā）强（qiáng）安全方针和技（jì）术符合性评审，确保体系按照组织（zhī）的安全（quán）方针及标准执行；系统审核（hé）考虑（lǜ）因素（sù），使效果较大（dà）化 , 并使系统审（shěn）核过（guò）程的影响较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了为实现信息（xī）安（ān）全（quán）认证（zhèng）所需（xū）的各项措施的详细指导，具有很强的可操作性和指导性。

归（guī）根结底，信息安全工（gōng）作（zuò）的目的就是在法律（lǜ）、法规、政策的支持与指导下，通过采用合适的安全（quán）技术与安全管（guǎn）理措施（shī），提供（gòng）安全需求（qiú）的保证（zhèng），而 BS7799 信息安全认证标准正（zhèng）是总（zǒng）和了这些（xiē）要求。组织可以根据自身特点，在 ISO/IEC 17799 指导下（xià），实现信（xìn）息安全的要（yào）求（qiú）。

 ISO27001：2005 《信（xìn）息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信息（xī）安全管理体系要求》是关于信息安（ān）全管理的标（biāo）准（zhǔn），是标准不是方法（fǎ），达到这些标准的要（yào）求并不（bú）难，重要的是用（yòng）什么方法去实现。企业应将实施标准作（zuò）为改（gǎi）善内部管理的一次（cì）机会，不应该将标准做为一种简单的（de）模（mó）式对现有流程运作进（jìn）行（háng）套用，应对现有的组织运作流程进行详细分析，有针对性地设计并改善现有管理（lǐ）体系（xì）、改善薄弱环节、改善运作流程及内部沟通，并有效地将好（hǎo）的管理思想融合到（dào）具体的实施（shī）程序中，才（cái）能发挥标准的真正作用。

获得认证证书（shū）不是zui终目的，建立有责、有序、有（yǒu）效的（de）信（xìn）息安全管理体系，提高员（yuán）工（gōng）的信息安全意识，不断获取并运（yùn）用好的管理（lǐ）方法和技（jì）术手段才能使企业的信息安全管理水（shuǐ）平得以（yǐ）持（chí）续的发展和提升。