BS7799-2：2002信息安全管理体系规范向组（zǔ）织提出（chū）了一系列认证的要求，在总则中（zhōng）提出组织应建（jiàn）立并保持一个文件化（huà）的信息安全管（guǎn）理体系，阐述（shù）被保护的资产（chǎn）、组织风险管理的渠道、控制目（mù）标及控制方式和（hé）需（xū）要的保证等级；通过（guò）建立（lì）管理架构并加以实施来达到识别（bié）控（kòng）制目标（biāo）和控制方式，并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面（miàn）： 　

· 安全方针：为信（xìn）息安全（quán）提供管理（lǐ）指导和支持； 

· 组织安全：建立信息安全架构，保证组织的（de）内部管理；被第三方访问或外协时，保障组织（zhī）的信息安全； 

· 资产的归类与控制：明确资产责任，保（bǎo）持对组织资产的适当（dāng）保护；将信息进行归类，确保信息资产受（shòu）到适当程（chéng）度（dù）的保护； 

· 人员安全：在工作说明和资源方面，减（jiǎn）少因人为（wéi）错误（wù）、盗（dào）窃、欺诈（zhà）和设（shè）施误用造成（chéng）的风险；加强用户培训，确（què）保用户清楚知道（dào）信息安全的危险（xiǎn）性和相（xiàng）关事项，以便在（zài）他们的日常工（gōng）作中支（zhī）持组织的安（ān）全方针；制（zhì）定安全事故（gù）或故（gù）障的反应程（chéng）序，减少由安全事故和故障造成的损失，监控安（ān）全事件并从这种事件（jiàn）中吸取教训； 

· 实物与环（huán）境安全：确定（dìng）安全区域，防止非授权访问、破坏、干扰商务场所（suǒ）和信息（xī）；通过保（bǎo）障设备安全，防止资产的丢失、破坏、资产危害及商务活动（dòng）的中断；采用通（tōng）用（yòng）的（de）控制方式（shì），防止信息或信息处理设施损坏（huài）或失窃； 

· 通信和操作方式管（guǎn）理：明确操作程序及其责任，确保信息处（chù）理（lǐ）设（shè）施的（de）正（zhèng）确、安全操（cāo）作；加强系（xì）统策划（huá）与验收，减少（shǎo）系（xì）统（tǒng）失效风险；防范恶意软件（jiàn）以保（bǎo）持软件和信息的完（wán）整性；加强（qiáng）内务管理以（yǐ）保持（chí）信息处（chù）理和（hé）通讯服务（wù）的完整性和有（yǒu）效性通过 ; 加（jiā）强网（wǎng）络管（guǎn）理确保网（wǎng）络（luò）中的（de）信息安全及其辅助设（shè）施受到保护；通过（guò）保护媒体（tǐ）处理的安全 , 防止资产损坏和商务活动（dòng）的中断；加强信息和软件（jiàn）的（de）交换（huàn）的管理，防止（zhǐ）组织间在交换信息时（shí）发生丢失、更改和误用（yòng）； 

· 访（fǎng）问控制：按（àn）照访问控制的商务（wù）要求，控制信息（xī）访问；加强用户访（fǎng）问管理，防（fáng）止非授权访问信息系统；明（míng）确用（yòng）户职责，防止非授权的（de）用户访问（wèn）；加强网络访问控制，保护网（wǎng）络服务（wù）程序（xù）；加强（qiáng）操作系统访问控制 , 防（fáng）止非授（shòu）权（quán）的计（jì）算机访问（wèn）；加强（qiáng）应用访问控制，防止非授权（quán）访问系统中的信息；通过监控系统的（de）访（fǎng）问（wèn）与使用（yòng），监测（cè）非授权行为（wéi）；在移动式计（jì）算和电传（chuán）工作方面 , 确（què）保使用移动式计算和电传工作设施的信息安全； 

· 系统开发与（yǔ）维护（hù）：明确系统安全要求，确保安全性已（yǐ）构成信息系（xì）统（tǒng）的一部份；加强应用系统的安全，防止（zhǐ）应用系统用户（hù）数据的丢失、被修改或（huò）误（wù）用；加强密码技术控制，保护信息的（de）保密性、可靠（kào）性或完（wán）整性；加强（qiáng）系统文件的安（ān）全，确保 IT 方案及其支持活（huó）动以安（ān）全的方式进行；加强开发和支持过程的安全，确保应用系统软（ruǎn）件（jiàn）和信息的安全； 

· 商务连续（xù）性管理：防（fáng）止商务活动的中断及保护（hù）关键商务过程不受重大失（shī）误或灾（zāi）难事故（gù）的影响； 

· 符合：符合法律法规要（yào）求，避免刑法、民法（fǎ）、有关法（fǎ）令法规或合同约定（dìng）事（shì）宜及其（qí）他（tā）安（ān）全要求的规定相抵触（chù）；加强安全（quán）方（fāng）针和（hé）技术符合（hé）性评审，确保体（tǐ）系按照组（zǔ）织（zhī）的安（ān）全方针及标准执行；系统审核考（kǎo）虑因素，使效果较大化 , 并（bìng）使系统审核（hé）过程的影（yǐng）响较小（xiǎo）化。 　 

在国际标准 ISO/IEC17799 给出（chū）了为实（shí）现（xiàn）信息安全认证所需的各项措施（shī）的详细指（zhǐ）导，具有很强（qiáng）的可操（cāo）作性和指（zhǐ）导性（xìng）。

归（guī）根结底，信息安全工作的目的就是在法律、法规、政（zhèng）策的（de）支持与指导（dǎo）下，通过采用合适的安（ān）全技术与安全管理措施，提供安全需求的保（bǎo）证，而 BS7799 信息安全认证标准正是（shì）总和了（le）这些要求。组织（zhī）可以根据自身特（tè）点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全（quán）管理体系要求》

 ISO27001 ： 2005 《信息安全（quán）管理体系（xì）要求》是关于信息安全管（guǎn）理的标准，是标准不是方法，达（dá）到（dào）这些（xiē）标准的要求并不难，重（chóng）要的（de）是用（yòng）什么方（fāng）法去实现（xiàn）。企业（yè）应将实施标准（zhǔn）作为改善内（nèi）部管理的一次机会，不应该（gāi）将标准做（zuò）为一（yī）种（zhǒng）简单的模（mó）式对现有流（liú）程运作进行套用（yòng），应对现有的（de）组织运作（zuò）流程（chéng）进行详细分析，有针对性地（dì）设计并（bìng）改善现（xiàn）有管理体系（xì）、改（gǎi）善薄（báo）弱环节、改善（shàn）运作流（liú）程及内（nèi）部沟通，并有效地（dì）将好的管理思想融合（hé）到具体的实（shí）施程序中，才能发挥标准的真（zhēn）正作用。

获得（dé）认证证书不（bú）是zui终目的，建（jiàn）立有责、有序、有（yǒu）效的信息安全（quán）管理（lǐ）体系，提高（gāo）员工的信息安全意识，不断获取并（bìng）运用好的管理方法和（hé）技术手段才能（néng）使企业的信（xìn）息安全（quán）管理水平得以（yǐ）持续的发展和提（tí）升。