BS7799-2：2002信息安全管理（lǐ）体系规范向组织提出了一（yī）系列认证的要求，在总则中提出组织应建立并保持一个文件化的信（xìn）息安全管理体（tǐ）系，阐（chǎn）述被保护的（de）资产（chǎn）、组（zǔ）织风险管理（lǐ）的渠道、控制目标及控制方式和需（xū）要的保证（zhèng）等（děng）级；通过建立管理架构并加以实施来（lái）达到识别控制目（mù）标和控（kòng）制方式，并形成（chéng）文件和记（jì）录（lù）。

BS7799-2：2002的控制细则包括（kuò）10个方面： 　

· 安全方针：为（wéi）信息安全提供管理指导（dǎo）和支持； 

· 组织安全：建立信息安全架（jià）构（gòu），保证（zhèng）组织的内部管理；被第（dì）三方访问或外协时（shí），保障组织的信（xìn）息（xī）安全（quán）； 

· 资产的归类与控（kòng）制：明确资产责任，保（bǎo）持对组织资产的适当保护；将信息进行归类，确保信（xìn）息资产受（shòu）到适当（dāng）程度的保护； 

· 人员安全：在工作说明（míng）和资（zī）源方面，减少因人为错误、盗窃、欺诈和设施（shī）误用造成的风险；加强用（yòng）户培训，确保用户（hù）清楚知道信（xìn）息安全的危险性和（hé）相关事（shì）项，以便（biàn）在他们的日常工（gōng）作中支持组织的（de）安全方针；制定（dìng）安（ān）全事故或故障的（de）反应程（chéng）序，减（jiǎn）少由安（ān）全事故和故障（zhàng）造（zào）成的损失，监（jiān）控安全（quán）事件并从（cóng）这（zhè）种事（shì）件中吸取教（jiāo）训（xùn）； 

· 实物与环境安全：确定安全（quán）区域，防止非授权访问、破坏、干扰商务（wù）场所（suǒ）和信息；通过保障（zhàng）设（shè）备安全，防止资（zī）产的丢（diū）失、破坏、资产危害及商务（wù）活（huó）动的中（zhōng）断（duàn）；采用通用的控制方式，防止信息（xī）或信息处（chù）理设施损坏或（huò）失窃； 

· 通信和操作方式管（guǎn）理：明确操作程序及其责任，确保信息处理设施（shī）的正（zhèng）确、安全（quán）操作（zuò）；加（jiā）强系统策划（huá）与验收，减少系统失效风险（xiǎn）；防范恶（è）意软件（jiàn）以保持软件（jiàn）和信（xìn）息的完整性；加强内务（wù）管（guǎn）理以保持信息（xī）处理和通讯服务的完整（zhěng）性和有效性通（tōng）过（guò） ; 加强网络管理确（què）保（bǎo）网络（luò）中的（de）信息安（ān）全及（jí）其（qí）辅助设施受到保护；通过保（bǎo）护媒体处理的（de）安全 , 防止资（zī）产（chǎn）损坏（huài）和商务活（huó）动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和（hé）误用； 

· 访（fǎng）问控制：按（àn）照访问（wèn）控制的（de）商务要求，控制信息访（fǎng）问；加强用户访问管理，防止非（fēi）授权访问信息系统；明确（què）用户职（zhí）责，防止非授权的用户访问；加强网络访（fǎng）问控制，保护网络服务程序（xù）；加强（qiáng）操作系（xì）统访问控制 , 防止非授权的计算机访问；加强应用访问（wèn）控制，防止非授权访问系统中的信息；通过监（jiān）控系统的访问与使用，监测非（fēi）授权行（háng）为；在移动式计算和电（diàn）传工作方面 , 确保使用（yòng）移动式计算和（hé）电传工作设施的信息安全（quán）； 

· 系统开发与维（wéi）护：明确系统安全（quán）要求，确保安（ān）全性已构成（chéng）信息系统（tǒng）的一部份；加强应用（yòng）系统的安全，防止应用系统用户数据的丢失（shī）、被修改或误用；加强密码技术控（kòng）制（zhì），保护信息的保密性、可靠性或完（wán）整性；加强（qiáng）系统文件的安全（quán），确（què）保 IT 方（fāng）案及其（qí）支持活动以安全的方式进行；加强开发和支持过程的安全，确（què）保应用系统软件和信（xìn）息的安全； 

· 商务连（lián）续性管（guǎn）理：防止商务活动的中断（duàn）及保护关键（jiàn）商务过程不受重大失误（wù）或灾难事（shì）故的影响； 

· 符合：符合法律法规要求，避免刑法（fǎ）、民法、有关（guān）法（fǎ）令法规或合同约定事（shì）宜及其他（tā）安全要求的规定相（xiàng）抵触；加强安（ān）全方针和技术符合性评审，确（què）保（bǎo）体系按照组织（zhī）的安（ān）全方针及标准执行；系统（tǒng）审核考（kǎo）虑因素，使效果较大化 , 并使系统审核过程的影响较（jiào）小（xiǎo）化。 　 

在国（guó）际（jì）标准 ISO/IEC17799 给出了（le）为实现信息安全认证（zhèng）所需的（de）各项措施（shī）的详细指导，具有（yǒu）很（hěn）强的可（kě）操作性和指导性。

归根结底，信息安全工（gōng）作的目的就是在（zài）法（fǎ）律、法规、政策的支持与指（zhǐ）导下，通（tōng）过采用合（hé）适的安全技术与安（ān）全管理措施（shī），提供（gòng）安全需求的保（bǎo）证，而 BS7799 信（xìn）息安全认证标（biāo）准正是总和了这些要求。组织可（kě）以根据自身（shēn）特点，在 ISO/IEC 17799 指（zhǐ）导下，实现信（xìn）息安全的要（yào）求。

 ISO27001：2005 《信（xìn）息安全管理体系要求》

 ISO27001 ： 2005 《信息安全管理体系要求》是关于信息安全管理的标准（zhǔn），是标（biāo）准不是方法，达到这些标准的要求（qiú）并不难，重（chóng）要（yào）的是用什么方法去（qù）实现。企业应将实（shí）施标准作为改善内（nèi）部（bù）管理（lǐ）的一次机（jī）会，不（bú）应该将（jiāng）标准做为一（yī）种简单的模式对现（xiàn）有流程运作进（jìn）行（háng）套用，应对现有的组织（zhī）运（yùn）作（zuò）流程进行详（xiáng）细分析，有针对性地设计并改善（shàn）现（xiàn）有（yǒu）管（guǎn）理体系、改善薄弱环节、改善运作流程及（jí）内部沟通，并有效地将（jiāng）好的管理思想融（róng）合到具体的实施程序中，才（cái）能发挥标准（zhǔn）的真正作用（yòng）。

获得（dé）认（rèn）证（zhèng）证书不是zui终目（mù）的，建立（lì）有责、有序、有效的信息安全管理体（tǐ）系，提高（gāo）员工的（de）信（xìn）息安全意识，不（bú）断获取并运用好的（de）管（guǎn）理（lǐ）方法和（hé）技术（shù）手（shǒu）段才能（néng）使企业的（de）信息安全（quán）管理水平得（dé）以（yǐ）持续的发展和（hé）提升。