BS7799-2：2002信息安全管理体系规范向组织提（tí）出了一系列认证的要（yào）求，在总则中提出组织应建立并保持一个文件化的信息安全管（guǎn）理（lǐ）体系，阐述（shù）被（bèi）保护（hù）的（de）资产、组织风（fēng）险管理的渠道（dào）、控制目标及控制（zhì）方式和需要的保证等级；通过建（jiàn）立管理架构并加（jiā）以实施来（lái）达到识别控制目标和控制（zhì）方式，并（bìng）形（xíng）成文件和（hé）记录（lù）。

BS7799-2：2002的控制细（xì）则包括10个方面： 　

· 安（ān）全方针：为信息安（ān）全提供管理指（zhǐ）导和（hé）支持； 

· 组织安全：建立信息安全架构，保（bǎo）证（zhèng）组织的内部管理；被第三方（fāng）访问或外（wài）协时，保障组织（zhī）的信息安全； 

· 资产的归类与（yǔ）控（kòng）制：明确（què）资产责任，保（bǎo）持对（duì）组织（zhī）资产的（de）适当保护；将信息进行归类，确保信（xìn）息资产受到适当程（chéng）度的保护； 

· 人员安全：在工作说明和资源方面，减少因人为（wéi）错（cuò）误、盗窃、欺诈和设施误用造成的风险；加强用（yòng）户培训，确（què）保用户清楚知道信息安全（quán）的危险性和相关（guān）事项，以（yǐ）便在他（tā）们的日常工（gōng）作中支持组（zǔ）织的安全（quán）方（fāng）针；制定安全事（shì）故或故障的反应程序，减少由安全事故和故障造成的损失，监（jiān）控（kòng）安全事件并（bìng）从这种事件中吸取教训； 

· 实物（wù）与环（huán）境安（ān）全：确定（dìng）安全区域，防（fáng）止（zhǐ）非授权访问、破坏、干扰商（shāng）务场所和信息；通（tōng）过保（bǎo）障设备安（ān）全，防止资产的丢失、破坏、资（zī）产（chǎn）危害及商务活动的中断；采用通用的控制方式，防（fáng）止信息或信息处理设施（shī）损坏（huài）或失窃； 

· 通（tōng）信（xìn）和（hé）操作方式管理：明确操作程（chéng）序及其责任，确（què）保信息处理设施的（de）正确、安全操作；加强系统策划与验收，减少系统失效风险；防（fáng）范恶意软件以（yǐ）保持软件和信息的完整性；加强内务管理以保（bǎo）持信息处理和通讯服务的完整性和（hé）有（yǒu）效性通（tōng）过 ; 加强（qiáng）网（wǎng）络管理确保（bǎo）网络中的信息安全及其辅助设施受到保（bǎo）护；通过保护媒体处理的安全 , 防止资产损坏和商务活动的中断；加强信（xìn）息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和误（wù）用； 

· 访问控制（zhì）：按照（zhào）访问（wèn）控制（zhì）的商务要求，控制信息访问；加（jiā）强用户访问管理，防止非授权访（fǎng）问信息系统；明确用户职责，防止非授权的用户访问（wèn）；加强（qiáng）网络访问（wèn）控制，保护（hù）网络服务（wù）程序；加强操作系统访（fǎng）问控制（zhì） , 防（fáng）止非授（shòu）权的计算机访问；加强应用访问控制，防止非授权访问（wèn）系统中的信息；通（tōng）过（guò）监控系统的访问与使用，监测非（fēi）授（shòu）权行为；在移动（dòng）式计算和（hé）电传工作（zuò）方（fāng）面 , 确保使用移动式计算和电传工（gōng）作设施的信息安全； 

· 系统开（kāi）发与维护：明确系统（tǒng）安（ān）全要求，确保安全性已构成信息系统的（de）一（yī）部份；加强应用系统的安全，防止（zhǐ）应（yīng）用系（xì）统（tǒng）用（yòng）户数据的丢失、被修改（gǎi）或误用（yòng）；加强密码技术控制，保护信息的保密（mì）性（xìng）、可（kě）靠性或完（wán）整性；加（jiā）强系统文件的安全，确（què）保 IT 方案及其支持活动以安全的方式进（jìn）行；加强开发和支持（chí）过（guò）程的安全，确保应用系统软（ruǎn）件和信息的安（ān）全（quán）； 

· 商（shāng）务连续性管理：防止（zhǐ）商务活动的中（zhōng）断及保护（hù）关键商（shāng）务过（guò）程（chéng）不受（shòu）重大失（shī）误或灾难（nán）事故（gù）的（de）影响（xiǎng）； 

· 符（fú）合：符（fú）合法律法（fǎ）规要（yào）求，避免刑法、民法、有关法（fǎ）令法（fǎ）规或合（hé）同（tóng）约定事宜及其他安（ān）全（quán）要求的规定相抵（dǐ）触；加强安全方（fāng）针和（hé）技术符合性评审，确保（bǎo）体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果（guǒ）较大化 , 并使系统审核过（guò）程的（de）影响较小化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了（le）为实现信息安全认证所需的各项措施的详细指导，具有很强的可操（cāo）作性和指导性。

归根（gēn）结底，信息（xī）安（ān）全工作的（de）目的就（jiù）是在法律、法规、政策的支（zhī）持与指导下，通过采用合适的安全技术与安（ān）全管（guǎn）理措施，提供安全需（xū）求的保证，而（ér） BS7799 信息安全（quán）认证标准正（zhèng）是（shì）总和了这些要求（qiú）。组织可以根据自身特点，在（zài） ISO/IEC 17799 指导（dǎo）下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理（lǐ）体系要求》是（shì）关于信息安（ān）全管理的标准，是标准不是方法，达（dá）到这些标准的要求并不（bú）难，重要的是用什么（me）方法去实现。企业应将实（shí）施标准作为（wéi）改（gǎi）善内部管（guǎn）理的（de）一（yī）次机会，不应（yīng）该（gāi）将标准做为一种简单的模式对现有流（liú）程运作进行套（tào）用，应对（duì）现有的组（zǔ）织运作流程进行详细分（fèn）析，有针对性地设计（jì）并改善现（xiàn）有管理（lǐ）体系、改善薄弱环节、改善运作流程及内部（bù）沟通，并有效地（dì）将（jiāng）好的管理思（sī）想融合到具体的实施程（chéng）序中，才能发（fā）挥标（biāo）准的真正作用（yòng）。

获得认证证书不是zui终目的，建立有（yǒu）责、有序（xù）、有（yǒu）效的信息安全（quán）管理体（tǐ）系（xì），提高员（yuán）工（gōng）的信息安全意识，不断获取（qǔ）并运用好（hǎo）的管理（lǐ）方法和技术手（shǒu）段才能使企业的信息安全管（guǎn）理（lǐ）水平（píng）得以持续的发（fā）展（zhǎn）和提升（shēng）。