BS7799-2：2002信息安全管理体系规范向组织提（tí）出了（le）一（yī）系列（liè）认（rèn）证的要求（qiú），在（zài）总则中提出组织应建立并保（bǎo）持一个（gè）文件（jiàn）化的（de）信（xìn）息安全管理体系，阐（chǎn）述被保护的资产、组（zǔ）织风险管理的渠（qú）道、控制目标（biāo）及控制方式和需要的保证等级；通（tōng）过建立管理架构并加以（yǐ）实施来达到识（shí）别（bié）控制目标和控制（zhì）方式，并形成文件和记录。

BS7799-2：2002的控制（zhì）细则包括（kuò）10个方面： 　

· 安全方（fāng）针：为信息安全提（tí）供管（guǎn）理指导和支持； 

· 组织安全（quán）：建立信息安（ān）全架（jià）构，保证组织的内部管理；被第（dì）三方访（fǎng）问或外协（xié）时，保障组织（zhī）的信息安全； 

· 资产的归类与控制：明确（què）资产责任（rèn），保（bǎo）持对（duì）组织资产的适当保护（hù）；将信息进行归（guī）类，确（què）保信息（xī）资（zī）产受到（dào）适（shì）当程度的（de）保（bǎo）护； 

· 人员安全：在工作（zuò）说（shuō）明和（hé）资源（yuán）方面，减少因人为错误、盗（dào）窃、欺诈（zhà）和设（shè）施（shī）误用造成（chéng）的风险（xiǎn）；加强用户培训，确保用户清（qīng）楚（chǔ）知道信息安（ān）全的危险性（xìng）和相关事项，以便在（zài）他们的日常工作中支持（chí）组织的安全方针；制定安全事故或（huò）故（gù）障的（de）反应程序，减少由安全事故和故障造（zào）成的损失，监控（kòng）安全事件并从这（zhè）种事件中吸取教训； 

· 实物与（yǔ）环境安（ān）全（quán）：确定安全区域，防止非授权访问、破坏、干扰商务（wù）场所和信息（xī）；通过保（bǎo）障（zhàng）设备安全，防止（zhǐ）资产（chǎn）的丢失、破坏、资产危害及商务活（huó）动的中断；采用通用的控制方式（shì），防止信息或信息处理设施（shī）损坏或失窃； 

· 通信和操作方式管理（lǐ）：明（míng）确操（cāo）作程序及其责任（rèn），确保信息处理设施的（de）正确、安全操作；加（jiā）强系（xì）统策划与验收，减少（shǎo）系统（tǒng）失效风险；防范恶意软件（jiàn）以保持软件和（hé）信（xìn）息的完整（zhěng）性；加强内（nèi）务管理以保持（chí）信息处理和（hé）通讯服务的完整性（xìng）和有效性通过 ; 加强网（wǎng）络管理确保网络中的信息安（ān）全及其辅助设（shè）施受到保护；通过保护媒体处理的安全（quán） , 防止资产损坏和商务活动的中断；加强信息和软件（jiàn）的交换的（de）管（guǎn）理，防（fáng）止组织（zhī）间在交换信息时（shí）发生丢（diū）失、更改和误用； 

· 访问控制：按照访问控（kòng）制的商（shāng）务要求，控制信息访问；加强用户访（fǎng）问管理，防止非（fēi）授权访（fǎng）问（wèn）信息系统；明确用户职责（zé），防止（zhǐ）非授权（quán）的用（yòng）户访问；加强网（wǎng）络访问控制（zhì），保护网络服务（wù）程序；加强操作系统访问控制 , 防止（zhǐ）非授（shòu）权的计算机访（fǎng）问（wèn）；加强应用访问控制，防止非授权（quán）访问系统中的（de）信息；通过监控系统的访问与使（shǐ）用，监测（cè）非授权行为；在移动式计算和电传工作方面 , 确（què）保使用移（yí）动式（shì）计算和电传工作（zuò）设施的信息安全（quán）； 

· 系统（tǒng）开发（fā）与维护：明（míng）确系统安全要（yào）求，确保安全性已构成信息系统的一部（bù）份；加强（qiáng）应用系统的安（ān）全，防止应用系统用（yòng）户数据的（de）丢失、被修改或误用；加（jiā）强密码技术控（kòng）制，保护信息的保密性、可靠性（xìng）或完整性；加（jiā）强系统（tǒng）文件的安全，确保 IT 方案及其支持活动以安全的方式进行；加（jiā）强开发和（hé）支持过（guò）程的安全，确（què）保应用系统软（ruǎn）件和信息的安全（quán）； 

· 商务连续性管理（lǐ）：防止商（shāng）务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响； 

· 符合：符合（hé）法律法（fǎ）规要求，避免（miǎn）刑法、民法、有关法（fǎ）令（lìng）法规或合（hé）同（tóng）约（yuē）定事宜及其他（tā）安（ān）全要（yào）求的（de）规定相（xiàng）抵触；加强安全方针（zhēn）和技术符合性（xìng）评审，确（què）保体系按照组织的（de）安全方针及标准执行（háng）；系统审核（hé）考（kǎo）虑因素，使效（xiào）果较（jiào）大化 , 并使系统审核过程的影（yǐng）响较小化。 　 

在国际标准 ISO/IEC17799 给（gěi）出（chū）了为实（shí）现信息（xī）安全认证所（suǒ）需的各项措（cuò）施（shī）的（de）详（xiáng）细指（zhǐ）导，具（jù）有（yǒu）很强的（de）可（kě）操作性和指导性（xìng）。

归根结底，信息安全（quán）工（gōng）作的目的就是在（zài）法（fǎ）律、法规（guī）、政（zhèng）策的支持与（yǔ）指导（dǎo）下（xià），通过采（cǎi）用合适的安全技术（shù）与安全管理措施（shī），提供安全需（xū）求的保证，而 BS7799 信息安全认证标准正（zhèng）是总和了这些（xiē）要求。组织（zhī）可以根据自身特点，在 ISO/IEC 17799 指导下，实现（xiàn）信息安全的（de）要求（qiú）。

 ISO27001：2005 《信息安（ān）全管理体（tǐ）系要求》

 ISO27001 ： 2005 《信息安全管理体（tǐ）系要求》是关于信息安全管理（lǐ）的标准，是标准不是方法，达到（dào）这些标准的要求（qiú）并不难，重（chóng）要的（de）是用什（shí）么方（fāng）法去实（shí）现。企业应（yīng）将实（shí）施标准作（zuò）为改善内部（bù）管（guǎn）理的一（yī）次机会，不应该（gāi）将标准做为一种简（jiǎn）单（dān）的模式对现有流程运作进行套用，应对现有的组（zǔ）织（zhī）运作（zuò）流程进行详细分析，有针对（duì）性地设计并改善现（xiàn）有管（guǎn）理体系、改善薄弱环节、改（gǎi）善运（yùn）作流程及内（nèi）部沟通（tōng），并有（yǒu）效地将好（hǎo）的管（guǎn）理思想融合到具体的（de）实（shí）施程序中，才能发（fā）挥标准的真正作用（yòng）。

获得认证证书不是zui终目（mù）的，建（jiàn）立有责、有序、有效的（de）信息（xī）安全管（guǎn）理（lǐ）体系，提高（gāo）员工的信息（xī）安全意识，不断获取并运用好的管理方法和技（jì）术手段（duàn）才能使企业的信息安（ān）全管理（lǐ）水平得以持续（xù）的发（fā）展和提升。