BS7799-2：2002信（xìn）息安全管（guǎn）理体系规范（fàn）向组织（zhī）提出了一系（xì）列（liè）认证的要求，在总则中提出组织应建立并（bìng）保持一个文件化的（de）信息安全管理体系（xì），阐（chǎn）述被保护的资（zī）产、组织风险管理的渠道、控制目标及控制方（fāng）式和需要的（de）保证等级；通过建立管理架（jià）构并加以实施来达到识（shí）别控制目标和控（kòng）制方式，并形成文件和记录（lù）。

BS7799-2：2002的控制（zhì）细则包（bāo）括10个方面： 　

· 安全方针：为信息安全提（tí）供管理指导和支持； 

· 组（zǔ）织安全：建立信息安全架构，保证组织的内部管（guǎn）理；被（bèi）第三方（fāng）访问或外协时（shí），保障组织（zhī）的信息安全； 

· 资产的归类与控制（zhì）：明确资产责（zé）任，保持对组织资产的（de）适当保护；将信息进行归（guī）类，确保信息资产受到适（shì）当（dāng）程度（dù）的保护； 

· 人（rén）员安（ān）全（quán）：在工作说明和资源方面，减少（shǎo）因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确（què）保用（yòng）户（hù）清楚知道信息安全的危险性和相关（guān）事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或（huò）故障的反应程序（xù），减少由（yóu）安全事故和故（gù）障造成的损失，监控（kòng）安全事件并从这种事件中吸取教训； 

· 实物与环境安（ān）全：确定安全区域，防止（zhǐ）非（fēi）授权访（fǎng）问、破坏、干（gàn）扰商务场所和信（xìn）息；通（tōng）过（guò）保障设备（bèi）安全，防止资产的丢失、破坏、资产危害及商（shāng）务活动的（de）中（zhōng）断；采（cǎi）用（yòng）通用的控制方式，防止信（xìn）息或信（xìn）息处理设施损（sǔn）坏或失窃（qiè）； 

· 通信和（hé）操作方式管（guǎn）理（lǐ）：明确操（cāo）作程（chéng）序及其（qí）责任，确保信息处理设施（shī）的正确、安全操（cāo）作；加（jiā）强（qiáng）系统策划与验（yàn）收，减少系统失（shī）效风（fēng）险；防范恶意软件以保持软件和信（xìn）息的完整性；加强内务（wù）管理以保（bǎo）持信（xìn）息处理（lǐ）和通讯服（fú）务的完整性和有效性通过（guò） ; 加强网（wǎng）络管理（lǐ）确保网络（luò）中的信息安全及其（qí）辅助设施受到保护；通过（guò）保护媒体处理的（de）安全 , 防（fáng）止资产损坏（huài）和商（shāng）务活动的中断；加强（qiáng）信息和软（ruǎn）件（jiàn）的交换的（de）管理，防止组织间在交换信息时发生丢失、更改和误用； 

· 访（fǎng）问控制：按照访问控制的商务要求，控制信息访问；加强用户访问（wèn）管理，防止非授权访（fǎng）问信息系统；明确用户职（zhí）责，防（fáng）止非授权的用户访问；加强网络访问控（kòng）制，保护网络服（fú）务程序；加强操（cāo）作系统访问控制 , 防（fáng）止（zhǐ）非（fēi）授权的（de）计（jì）算机访（fǎng）问；加强应用访问控制，防止非授权访（fǎng）问（wèn）系统中的（de）信息；通过监（jiān）控系统的访问（wèn）与（yǔ）使用，监（jiān）测（cè）非授权行为；在移动式计算和电传工作（zuò）方面（miàn） , 确（què）保使用移动式计算和电传工作设施的信息安全； 

· 系统开发与维护：明确系统安（ān）全要求（qiú），确保安（ān）全性已构成信（xìn）息系统的一部份（fèn）；加强应用系统的安全，防止应用（yòng）系统用户数据的（de）丢失、被修改（gǎi）或误（wù）用；加强密码技术控制，保护信息的保（bǎo）密性（xìng）、可靠性（xìng）或完整性；加强（qiáng）系（xì）统文件的安全，确保 IT 方案（àn）及其支持活（huó）动以安全的方式进行；加（jiā）强开发和支持过程的安全，确保应用系（xì）统（tǒng）软件和信息的安全； 

· 商（shāng）务连续性管理：防止商务活动的中断及保护（hù）关键商务过程（chéng）不受（shòu）重大失误或灾难事故的影响； 

· 符（fú）合：符合（hé）法律（lǜ）法规要求，避免刑法、民（mín）法（fǎ）、有关法令法规或合同约（yuē）定事宜（yí）及其他安（ān）全（quán）要求的规（guī）定相（xiàng）抵触；加（jiā）强安全方针和技术符合性评（píng）审，确（què）保体系按照组织（zhī）的安（ān）全方（fāng）针及标准执（zhí）行；系统审（shěn）核（hé）考（kǎo）虑因素，使效果较大（dà）化 , 并使（shǐ）系统审核过程的影响较小化。 　 

在国际（jì）标准 ISO/IEC17799 给（gěi）出（chū）了（le）为实（shí）现信息（xī）安全认证所需（xū）的各项措施的详细指导，具有很强（qiáng）的（de）可（kě）操作性（xìng）和指导性。

归根结底，信息安全工作的（de）目的就是在法律、法规、政策（cè）的支持与指导下，通过采用（yòng）合（hé）适的安全技术与安全管理措施，提供安全需求的保证，而 BS7799 信息安全（quán）认证标准正是总（zǒng）和了这些要求。组织可以根据自身特点（diǎn），在 ISO/IEC 17799 指（zhǐ）导下，实现信息安（ān）全的（de）要求。

 ISO27001：2005 《信（xìn）息安（ān）全管（guǎn）理（lǐ）体系要求》

 ISO27001 ： 2005 《信息（xī）安（ān）全管理体系要（yào）求》是关于（yú）信息安全（quán）管理的标准，是（shì）标准不是方（fāng）法（fǎ），达到这（zhè）些标准的要求并不难，重要的是用什么方法去实现。企业应将实施标准（zhǔn）作为（wéi）改善（shàn）内（nèi）部管理的一次机会，不（bú）应（yīng）该（gāi）将标准做为（wéi）一种简单的（de）模（mó）式对现有流程（chéng）运作进（jìn）行（háng）套用，应对（duì）现有的组织运作（zuò）流程进（jìn）行（háng）详细分析（xī），有针对性地设计并改善现有管理体系、改善薄弱（ruò）环节、改善运作流程（chéng）及内部（bù）沟通，并有效（xiào）地将好的管理思想（xiǎng）融合到具体的实施程序中，才能发挥标准的真正作用。

获得认证证书不是zui终目的，建立有（yǒu）责、有（yǒu）序、有（yǒu）效的信息安全管理体系，提高员工的信息安全意识，不断获取并运（yùn）用好的管理方法（fǎ）和技术（shù）手段才能（néng）使企业的信息安全（quán）管（guǎn）理水（shuǐ）平得（dé）以持续的发展和提（tí）升（shēng）。