BS7799-2：2002信息安全（quán）管理（lǐ）体系规范向组织提出了一系列认证（zhèng）的要求，在总则中提（tí）出（chū）组织应建立并保持一个文（wén）件化的信息安全管理（lǐ）体系，阐述（shù）被保护的资产、组织风险管理（lǐ）的渠（qú）道、控制目标及控（kòng）制方式和（hé）需要的保证等级（jí）；通过（guò）建（jiàn）立管理架构并（bìng）加以（yǐ）实（shí）施来达到识（shí）别控制目标和控（kòng）制方式，并（bìng）形成文件和记（jì）录。

BS7799-2：2002的控制细则（zé）包括（kuò）10个方面： 　

· 安全方针（zhēn）：为信息（xī）安全（quán）提供（gòng）管理指导和支持； 

· 组织安全：建立（lì）信息安全架构，保证组（zǔ）织的（de）内部管理；被第三方访问或外协时（shí），保（bǎo）障组织的信息（xī）安全； 

· 资产的归类与控制：明确资产责任，保持对组织资产的适（shì）当保护；将（jiāng）信（xìn）息进行归类（lèi），确保信息资产受到适当（dāng）程（chéng）度的保（bǎo）护（hù）； 

· 人员安全（quán）：在工作说明和资源方面，减少（shǎo）因人为错误、盗窃、欺诈和设施（shī）误用（yòng）造（zào）成的风险；加强用户培（péi）训（xùn），确保（bǎo）用户（hù）清楚知道信息安全的危险性和相关事项，以便在他们的日常（cháng）工作中支持组织的安全（quán）方针；制定安全事故或故障的反应程（chéng）序，减少由安全事故和故障造成的（de）损失（shī），监控安全事件并从这种事件中吸取教训； 

· 实物与环境安（ān）全：确（què）定安（ān）全（quán）区（qū）域，防止非授权访问（wèn）、破坏、干扰商务场所和信息；通过保障设备（bèi）安全，防止资产（chǎn）的（de）丢失、破坏、资产危害及商务（wù）活动的（de）中断（duàn）；采用通用的控制方式，防止信息或信息处理（lǐ）设施损坏（huài）或失窃； 

· 通（tōng）信和操作方式管理：明确操作程序及其责任，确保信息处理设施的正确、安（ān）全操作；加（jiā）强（qiáng）系（xì）统策划（huá）与验收（shōu），减少系统失效风险；防范恶意软件以保持软件和信（xìn）息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过 ; 加（jiā）强网（wǎng）络管理确保网络中的信息安全及其辅（fǔ）助（zhù）设（shè）施受到保护；通过保护媒体（tǐ）处（chù）理的安全（quán） , 防止资产损坏（huài）和商务活（huó）动的中（zhōng）断；加强信息和软件的（de）交换（huàn）的管（guǎn）理，防止组（zǔ）织间在交换信息时发生丢失、更改和误用； 

· 访问（wèn）控制：按照访（fǎng）问控制的商（shāng）务（wù）要求，控（kòng）制信息访问；加强用户访问管（guǎn）理（lǐ），防（fáng）止非授（shòu）权访问信（xìn）息（xī）系统；明（míng）确（què）用户职责，防止非授权的用户访（fǎng）问；加（jiā）强网络访问控制，保护网络（luò）服务（wù）程序；加强操作系（xì）统访问控制 , 防止非授权的（de）计算机访问；加（jiā）强应用访（fǎng）问控制，防止（zhǐ）非授权访问（wèn）系统中的信息；通过监控系统的访问与使用，监测非授权行（háng）为；在移（yí）动式计算和（hé）电传工作方面（miàn） , 确保使用移（yí）动式计算和电传工（gōng）作设施的信息（xī）安全； 

· 系统开发与维护：明确（què）系统安全要（yào）求，确保安全性已构成（chéng）信息系统的一部份（fèn）；加强应用系统的安全，防止应用（yòng）系统用户数据的丢失（shī）、被修改（gǎi）或误用；加（jiā）强（qiáng）密码技术控（kòng）制，保护信息（xī）的保密性、可靠性或（huò）完整（zhěng）性；加强系统文件（jiàn）的安全，确保 IT 方案（àn）及其支持（chí）活动（dòng）以安全的（de）方式进行；加强（qiáng）开（kāi）发和支持过程（chéng）的安全，确保应用（yòng）系统软件和信息的安（ān）全； 

· 商务连续性管（guǎn）理：防止（zhǐ）商务活动的中断（duàn）及保护关键商务过程不受重大失误或灾难（nán）事故（gù）的影响； 

· 符合：符合法律法规要求，避免刑法、民法、有（yǒu）关法令法规（guī）或合同约定事宜及其他安全要（yào）求的规定（dìng）相抵触；加强（qiáng）安全方针和技术符合性评审，确保（bǎo）体系按（àn）照（zhào）组织的安全方（fāng）针及标准执行（háng）；系（xì）统审核考（kǎo）虑（lǜ）因素，使效果较大化 , 并使系统审核过程的影响（xiǎng）较小化。 　 

在国（guó）际标准 ISO/IEC17799 给出了（le）为实现（xiàn）信息（xī）安全（quán）认证所需的（de）各项措施的详细指导，具有很强的可操作性和指（zhǐ）导性。

归根结（jié）底，信息安（ān）全工（gōng）作的目的就是在法律（lǜ）、法（fǎ）规、政策的支持与指导下（xià），通过采用合适的（de）安全（quán）技术与安全管理措施，提（tí）供安（ān）全需求的保证（zhèng），而（ér） BS7799 信息（xī）安全（quán）认证标准正是总（zǒng）和了这些要求。组织可以（yǐ）根据自身特点，在 ISO/IEC 17799 指导下（xià），实现信息安全的（de）要（yào）求。

 ISO27001：2005 《信息安（ān）全管理体系要求》

 ISO27001 ： 2005 《信（xìn）息安全管理体系（xì）要求》是关（guān）于（yú）信息安（ān）全管理的标准（zhǔn），是（shì）标准（zhǔn）不是方法，达到这些标准的（de）要求并（bìng）不难，重要的是用什（shí）么（me）方法（fǎ）去实现。企业应将实（shí）施标准作为改善内部管理（lǐ）的（de）一次（cì）机会，不应该（gāi）将标（biāo）准做为一种简单的（de）模式对现有流（liú）程运作进行套用，应对现有的组织运（yùn）作（zuò）流程进行详细分（fèn）析，有针对性地设计并改善现有管理体系、改善（shàn）薄弱环节、改善运作流程及内部沟通，并有效地（dì）将好的管理思想融合到具体的实施程序中，才能发挥标准的（de）真正作用。

获得认证证（zhèng）书不是zui终目的，建立有责、有序、有效的信息安全（quán）管理体系，提高员（yuán）工的信息安全意识，不断获取并（bìng）运用（yòng）好（hǎo）的管理（lǐ）方法和技术手段才能使企业的信息安（ān）全管理水（shuǐ）平得以持续的发展和提升。