BS7799-2：2002信息安全管理体系规范向组织（zhī）提出了一系列（liè）认（rèn）证的（de）要求，在总则中提出组织应（yīng）建（jiàn）立并保持（chí）一个文（wén）件化的信息安全管理体系，阐述被保护的（de）资产、组织风险管理的（de）渠道（dào）、控制（zhì）目标及控制（zhì）方（fāng）式（shì）和（hé）需（xū）要的保（bǎo）证等级；通（tōng）过（guò）建立管理架构并加以实施来（lái）达到识（shí）别控制（zhì）目标和控制方式（shì），并形成文件和（hé）记录。

BS7799-2：2002的（de）控制细（xì）则包括10个方（fāng）面（miàn）： 　

· 安全方针：为信息安全提（tí）供管理指（zhǐ）导（dǎo）和支持； 

· 组织（zhī）安全：建立信息（xī）安全（quán）架构，保证组织的内部管理（lǐ）；被第三方访问或（huò）外协时，保障（zhàng）组织的信（xìn）息安全； 

· 资（zī）产（chǎn）的归类与控（kòng）制：明确资产责任，保持（chí）对组织（zhī）资（zī）产的（de）适当保护；将（jiāng）信息进（jìn）行（háng）归类，确保（bǎo）信息（xī）资产受到适当程度的保护； 

· 人员安全：在工作说（shuō）明和资（zī）源方面，减少因人为（wéi）错误、盗窃、欺诈和设施误用造成的风险；加强用户（hù）培训（xùn），确保用（yòng）户清楚（chǔ）知道信息安全的危险性和相关事（shì）项，以（yǐ）便在他们的日（rì）常工作中支持组织的（de）安全方（fāng）针；制定安全事故或故障的反（fǎn）应程序，减少由安全事故和故（gù）障造成的损（sǔn）失，监（jiān）控安全事件（jiàn）并（bìng）从这（zhè）种事（shì）件中吸取教训（xùn）； 

· 实物与环境安全：确（què）定安全区（qū）域（yù），防止非授（shòu）权访问、破坏、干扰商务场（chǎng）所和（hé）信息；通过保（bǎo）障设备安全，防止资产的丢失、破坏、资产危害（hài）及商务（wù）活动的中断；采用（yòng）通用（yòng）的控制方式，防止信息或（huò）信息处理设施损坏或（huò）失窃； 

· 通信（xìn）和操作（zuò）方式管理：明确（què）操作（zuò）程序及其（qí）责任，确保信（xìn）息处（chù）理（lǐ）设施（shī）的正确、安全操作；加强系统策划与验（yàn）收（shōu），减少系统失（shī）效（xiào）风险；防（fáng）范恶（è）意软件（jiàn）以保持软件（jiàn）和信息的完整性；加（jiā）强内务（wù）管理（lǐ）以保持（chí）信息处理和通讯服务的完整性和有效性通（tōng）过 ; 加强网络管（guǎn）理确保网络中的（de）信息安全及其辅助（zhù）设施受到保护（hù）；通（tōng）过保护媒体处（chù）理的安全 , 防止资（zī）产损坏（huài）和商务活动的中断；加强信（xìn）息和软件的交（jiāo）换的（de）管（guǎn）理，防止组织间在交换信息时发生丢失、更改和误用； 

· 访问控制（zhì）：按（àn）照访问控制的（de）商务（wù）要求，控制信息访问；加强用户访问管理，防止非授权访问信（xìn）息系统；明（míng）确用户职责，防止非授权的用（yòng）户访问；加强网络（luò）访问（wèn）控制（zhì），保（bǎo）护网络服务程序；加强操作系统访问控制 , 防止非（fēi）授权的计算机访问；加强（qiáng）应用访问（wèn）控制，防（fáng）止非授权访问系（xì）统中的信息；通过监控（kòng）系统（tǒng）的访问与（yǔ）使（shǐ）用，监测非（fēi）授权行为（wéi）；在（zài）移动式（shì）计算和电传工作方面 , 确保使用移动式（shì）计算和电（diàn）传工作设（shè）施的（de）信（xìn）息安全（quán）； 

· 系统开发与维护：明确系（xì）统（tǒng）安全（quán）要求，确保安全性已构成信息系统的（de）一部份；加（jiā）强应用系统的（de）安（ān）全，防止应用系统用户数据的丢（diū）失、被修（xiū）改或误（wù）用；加强（qiáng）密码技术（shù）控制，保护信息的保密性、可（kě）靠性（xìng）或完整性；加强系统文件的安全，确（què）保（bǎo） IT 方案及其支（zhī）持活动以安全的方式进行；加强开发和支持过程的（de）安（ān）全，确保应用系统软件和信息的（de）安全； 

· 商务连（lián）续性管理：防止商务活动的（de）中（zhōng）断及保护关（guān）键商（shāng）务过程不受重（chóng）大失（shī）误（wù）或灾难事故的（de）影响； 

· 符合：符合法律法规要（yào）求（qiú），避免（miǎn）刑（xíng）法、民法、有（yǒu）关法令（lìng）法规或合同（tóng）约定事宜及其（qí）他安全要求的规定相（xiàng）抵（dǐ）触（chù）；加强安全方针和技（jì）术（shù）符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因（yīn）素，使效果较大化 , 并使系统审核过程的影响（xiǎng）较小化。 　 

在国际（jì）标（biāo）准 ISO/IEC17799 给出了为实现信息（xī）安（ān）全认证所需的各项措（cuò）施的（de）详细（xì）指（zhǐ）导（dǎo），具有很强的可操（cāo）作性和指导性。

归根结（jié）底，信息（xī）安全（quán）工作（zuò）的目的就是（shì）在法（fǎ）律、法规、政策的支持与指导下，通过采（cǎi）用合适的安全技术与安全管理措施，提（tí）供安全需求的保证，而 BS7799 信息安全认证标准正（zhèng）是总和了这些要求。组织可以根据自身特点，在 ISO/IEC 17799 指导（dǎo）下，实现信息安全的要求。

 ISO27001：2005 《信息（xī）安全（quán）管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息安全（quán）管（guǎn）理体系要求》是关于（yú）信息安全管（guǎn）理的标准，是标（biāo）准不是方法，达到这（zhè）些标准（zhǔn）的（de）要求并不难，重要的（de）是用什么方法去实现（xiàn）。企业应将实施标准作（zuò）为改善内部管理的一次机会，不应该将标准做为一种简单的模（mó）式对（duì）现有流程运作（zuò）进行套用，应对现有的组织运（yùn）作（zuò）流程进行详细分析，有针（zhēn）对（duì）性地设计并改善现有管理体系（xì）、改善薄弱环节、改善（shàn）运（yùn）作流程及（jí）内部沟（gōu）通，并有效地将好的管理思（sī）想融合到具体的实施程序（xù）中，才能发挥标准的真正作用。

获得认证证书不是zui终目的，建立有责、有序、有效的信（xìn）息安全（quán）管理体系，提高员工的信息安全意（yì）识（shí），不断获取并（bìng）运用好的管理方法和技术手段才能使企业的信息安全管理水平得（dé）以持续的发展和提升。