BS7799-2：2002信息安全管理体系规范向组（zǔ）织提（tí）出了（le）一系列认证的要求，在总（zǒng）则中提出组（zǔ）织应（yīng）建立并（bìng）保持一个文（wén）件化的信息安（ān）全管理体系，阐述被保护的资（zī）产、组织风险管理的渠道、控制目标及控（kòng）制方（fāng）式和需要的（de）保证等（děng）级；通（tōng）过建立管理架构并加（jiā）以实施来达到识别控制目（mù）标和控制方式，并形成文件和记（jì）录。

BS7799-2：2002的控制细则包括10个方面（miàn）： 　

· 安全方针：为信（xìn）息安全（quán）提（tí）供管理指导和支（zhī）持； 

· 组织（zhī）安全：建立信（xìn）息安全（quán）架构，保（bǎo）证组织的内部管理；被（bèi）第三方访问或外协时，保障（zhàng）组织的（de）信息安全； 

· 资产（chǎn）的归类（lèi）与控（kòng）制：明确（què）资产责任，保持对组织资产的适当保护；将信（xìn）息进行归类（lèi），确保信息（xī）资产受到适（shì）当（dāng）程度的保护； 

· 人员安全：在工作说（shuō）明和资源方面，减少因人为错误、盗窃、欺（qī）诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信（xìn）息（xī）安全的危险性和相关事项，以便在他（tā）们的（de）日常工作中支持（chí）组织（zhī）的安全方针；制定安全（quán）事故或故（gù）障的反应程序（xù），减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训； 

· 实物与环境安全：确定安全区域，防止非授权访（fǎng）问、破坏、干扰商务场（chǎng）所和信息；通过保障（zhàng）设备安全（quán），防止资产的（de）丢失、破坏、资（zī）产危害及商务活动的中断；采用通用的控制方式，防（fáng）止（zhǐ）信息或信息处理设施（shī）损坏（huài）或失窃； 

· 通信和操作方式管理：明确操作程序（xù）及其责任，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险（xiǎn）；防（fáng）范恶意软件以保（bǎo）持软件和信息的完整性；加强内务管理（lǐ）以保持信息处理和通讯服务的完（wán）整性和有（yǒu）效性（xìng）通过（guò） ; 加（jiā）强（qiáng）网络管理确保网络中的（de）信息安全（quán）及其辅助设施受（shòu）到保护；通（tōng）过保护媒体处理（lǐ）的安全（quán） , 防止资产（chǎn）损坏和（hé）商务活（huó）动的中断；加强信息和软件的（de）交换的（de）管理，防止组（zǔ）织（zhī）间在交换信息时发（fā）生丢失、更改和误（wù）用； 

· 访问控制：按照访问控制（zhì）的商务（wù）要求，控制信息访问（wèn）；加（jiā）强用户访（fǎng）问（wèn）管理（lǐ），防止（zhǐ）非（fēi）授权访问（wèn）信息（xī）系统；明确用户职（zhí）责，防（fáng）止非授权的用户（hù）访问；加强网（wǎng）络访问控制，保护网（wǎng）络服务程序；加强（qiáng）操作系统访问控制 , 防止（zhǐ）非授（shòu）权的计算机访问；加强应用访问控制，防止非授权访（fǎng）问系统中（zhōng）的信息（xī）；通过监（jiān）控系统的（de）访问与使（shǐ）用，监测非授权行为；在移动（dòng）式（shì）计算和电传工作方面（miàn） , 确保使用移动式计（jì）算（suàn）和电传工作设施的信（xìn）息安全； 

· 系统开发与维护：明确系统安（ān）全要求，确保安全性已构成信息系（xì）统的一部份；加强应用（yòng）系统的安全，防止应（yīng）用系统用户数据（jù）的丢（diū）失、被修改（gǎi）或（huò）误用；加强密码技术控制，保护信息的保密性（xìng）、可靠性或完整性；加强（qiáng）系统（tǒng）文件（jiàn）的安全，确（què）保 IT 方案及其支持活动以安全的方式进行（háng）；加强开发和支持（chí）过程的安全，确保应（yīng）用（yòng）系统软件和信（xìn）息的安全； 

· 商务连续（xù）性管（guǎn）理：防（fáng）止商（shāng）务活动的中断及（jí）保护关键（jiàn）商务过程不受重大失误（wù）或（huò）灾难事故（gù）的影响； 

· 符合：符合法（fǎ）律法规要求（qiú），避免刑法、民（mín）法、有关（guān）法令（lìng）法规或（huò）合（hé）同约定事宜及其（qí）他安全要求的规定相抵触；加强安（ān）全方针和技术符（fú）合性评审（shěn），确保体系按照（zhào）组（zǔ）织的安全方针及（jí）标准执行（háng）；系统审核考虑因素（sù），使效果较（jiào）大化（huà） , 并使系统（tǒng）审核（hé）过（guò）程的影响较小化。 　 

在国际标准 ISO/IEC17799 给出了为实（shí）现信（xìn）息安（ān）全认证所需的各项措施的详细指导，具有很强的可操作性和（hé）指导性。

归根结底，信息安全（quán）工（gōng）作的目的就是在法律、法规（guī）、政策的支持与指导下，通过采用合（hé）适的（de）安全技（jì）术与安全管理措施（shī），提供安全需求的保证，而（ér） BS7799 信息（xī）安全认证标准（zhǔn）正是总和了这些要求。组织可以（yǐ）根据自身特点，在 ISO/IEC 17799 指导（dǎo）下（xià），实现信息安全的要求。

 ISO27001：2005 《信息安全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全（quán）管理体系要求》是关于信息（xī）安（ān）全管理的标准，是标准不（bú）是方（fāng）法，达到这些标准的要求并不难，重要的是用什么方（fāng）法去（qù）实现。企（qǐ）业应将实施（shī）标准作（zuò）为改善内部管理的（de）一（yī）次机会，不应该将（jiāng）标准做为一种简单（dān）的模式对（duì）现有（yǒu）流程运作（zuò）进（jìn）行套用（yòng），应对现有（yǒu）的组（zǔ）织运作（zuò）流程进行详细分析，有（yǒu）针对性地设计并（bìng）改善（shàn）现有管理体系（xì）、改善薄弱环节、改（gǎi）善（shàn）运作流程（chéng）及内部（bù）沟通，并有效地（dì）将好（hǎo）的管理思想融（róng）合（hé）到具体的实施程序中，才能发挥（huī）标（biāo）准的真正作用。

获得认证证书（shū）不是zui终目的，建立有责、有序、有效的信息安全管理体系，提（tí）高（gāo）员（yuán）工的信息安全意识，不断获取（qǔ）并运用好的管理方法和（hé）技术手段才能使企业的（de）信息安（ān）全（quán）管理水平得以持（chí）续的发展和提升。