BS7799-2：2002信（xìn）息安全管理体系规（guī）范向组（zǔ）织提出了一系列认证（zhèng）的要求，在总则中提出组织（zhī）应建立并（bìng）保持一个文件化的信息安全管理体系（xì），阐述被保护的资产、组织（zhī）风险管（guǎn）理的渠道、控制目标及控制方式和（hé）需要的（de）保证（zhèng）等级；通（tōng）过建立管理架构并加以实施来达到识别（bié）控制目标和控制方（fāng）式，并形成文件和记录。

BS7799-2：2002的控制（zhì）细（xì）则包括10个方面： 　

· 安全方针：为信息安全（quán）提供管理指导和支持； 

· 组织安全：建立信息安全架构，保证组（zǔ）织的（de）内部管（guǎn）理；被（bèi）第三方访问或外（wài）协时，保障组织的信息安（ān）全； 

· 资（zī）产的归类与（yǔ）控（kòng）制：明确资（zī）产责任，保持对组织资产的适当保护（hù）；将信（xìn）息进行归类，确保信息资产受到适当程度的保（bǎo）护（hù）； 

· 人员安（ān）全：在工作说明和（hé）资源方面，减少因人为错（cuò）误、盗窃、欺诈和（hé）设施误用（yòng）造（zào）成的（de）风险（xiǎn）；加（jiā）强用（yòng）户培训，确保用户清楚（chǔ）知（zhī）道信（xìn）息安全的危（wēi）险性和相关事（shì）项，以便（biàn）在他们的日常工作中支持（chí）组织的安全方针；制定安全（quán）事故或故障的（de）反应程序，减少由（yóu）安全事（shì）故和故障（zhàng）造成的损失，监控安全事件并从这种事件中吸取教训； 

· 实物与环境（jìng）安全：确定安全区域，防止非授权（quán）访问、破坏、干扰商务场所和信（xìn）息；通过保障设（shè）备安全，防止资产的（de）丢失（shī）、破（pò）坏、资产危（wēi）害及商务活（huó）动的中（zhōng）断（duàn）；采用（yòng）通用的控（kòng）制方（fāng）式，防止（zhǐ）信息（xī）或信（xìn）息处（chù）理设施损（sǔn）坏（huài）或失窃； 

· 通信（xìn）和操作方式管（guǎn）理：明确操作（zuò）程序（xù）及（jí）其责任，确保（bǎo）信息处理设施的正确、安全操作；加（jiā）强（qiáng）系统策划与验（yàn）收，减少系统失效风险（xiǎn）；防范恶（è）意（yì）软件以保持软（ruǎn）件和信息（xī）的完（wán）整性（xìng）；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过 ; 加强网络管理确保网络（luò）中的（de）信息安全及其辅助设施受到保护；通过保（bǎo）护（hù）媒体处理的（de）安全 , 防止资（zī）产损（sǔn）坏和（hé）商务（wù）活动的（de）中断（duàn）；加（jiā）强信息（xī）和软件的交换的管理，防止组织间在交（jiāo）换（huàn）信息时发生丢失、更改和误用； 

· 访问（wèn）控制：按（àn）照访问控制的商务要求，控制信息（xī）访问（wèn）；加强用（yòng）户（hù）访问管理，防止非授（shòu）权访问信息（xī）系统；明（míng）确用户职责，防（fáng）止非授权（quán）的用户访问；加强网络（luò）访（fǎng）问控制，保护网络（luò）服务程序；加强操作系统访问控制 , 防止非（fēi）授权的（de）计算机访（fǎng）问；加（jiā）强（qiáng）应用访问（wèn）控（kòng）制，防止非（fēi）授权（quán）访（fǎng）问系（xì）统中的信（xìn）息；通过监控系统（tǒng）的访问与使用，监测非授权行为；在（zài）移动式计（jì）算和电传工（gōng）作方面 , 确保（bǎo）使用移动（dòng）式计算和电传工作设施的信息安全； 

· 系统开发（fā）与维护：明确系（xì）统安全（quán）要求，确保（bǎo）安全性（xìng）已构（gòu）成信息系统的一部（bù）份；加强应用系统的（de）安全，防止应（yīng）用系统用户数据（jù）的丢失、被修（xiū）改或误用；加强（qiáng）密码（mǎ）技术（shù）控制，保护（hù）信息的保密性、可靠（kào）性或完整性（xìng）；加（jiā）强系统（tǒng）文件的安全（quán），确保 IT 方案及其支持活动以安全的方式进行；加强开发和支持（chí）过程的安全（quán），确保应用（yòng）系统软件和信息（xī）的安全； 

· 商务连续性管理：防止商务活动（dòng）的（de）中断及保（bǎo）护关键商务过程（chéng）不受重大失（shī）误或灾难（nán）事故的影响； 

· 符合：符合法律法规（guī）要求，避免刑法、民法、有关法令法规或（huò）合（hé）同约（yuē）定事宜及其他安（ān）全要求的规定相抵（dǐ）触；加强（qiáng）安（ān）全方针和技（jì）术符合性评（píng）审，确保体系按照（zhào）组织的安全方针及标准执行；系统审核考（kǎo）虑因素，使效果较大化 , 并使系统审核过（guò）程的影响较小化。 　 

在（zài）国际标（biāo）准 ISO/IEC17799 给出了为（wéi）实现信（xìn）息安全认证所（suǒ）需的各项措施（shī）的详细指导，具（jù）有很强的可（kě）操（cāo）作性和指导性。

归（guī）根结底，信息安全工作的目的（de）就（jiù）是（shì）在法律、法规、政策的支持与指导下，通过采用合适的（de）安（ān）全（quán）技术与安全管理措施，提供安全需求的保（bǎo）证（zhèng），而 BS7799 信息安全认证标准正是总和了（le）这些要（yào）求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指导下，实现信息（xī）安全（quán）的要求。

 ISO27001：2005 《信息安全管理体系要（yào）求》

 ISO27001 ： 2005 《信息安（ān）全管理（lǐ）体系要求（qiú）》是关于信息安（ān）全（quán）管（guǎn）理的标（biāo）准，是标准不是方（fāng）法，达到这些标准的要求并（bìng）不（bú）难（nán），重要的是用什（shí）么（me）方法去实现。企业应将实施标（biāo）准（zhǔn）作为改善内部管理的一次（cì）机会，不应（yīng）该将标准做为一种简单的模（mó）式（shì）对（duì）现有流（liú）程运作进行套用，应对现有的组织运作（zuò）流程进行（háng）详细分析，有（yǒu）针对（duì）性地设计并（bìng）改善现（xiàn）有管理体系、改善薄弱环节、改（gǎi）善运作流程及内（nèi）部沟通，并有（yǒu）效地将好（hǎo）的管（guǎn）理思（sī）想融合到具（jù）体（tǐ）的实施程序中（zhōng），才能发挥标准的真正作（zuò）用。

获得认证证（zhèng）书不（bú）是zui终目（mù）的，建立有责、有序、有（yǒu）效的（de）信息（xī）安全管理体系，提（tí）高（gāo）员工的（de）信息（xī）安全意识，不（bú）断获取并运（yùn）用好的管理方法（fǎ）和技术（shù）手段（duàn）才能使企（qǐ）业的信息安全管理水平得以持续的发展和提升。