BS7799-2：2002信息（xī）安全管理体系规范向组织（zhī）提（tí）出（chū）了一系列认证（zhèng）的要求，在总则中提出组织应（yīng）建立并保持一（yī）个文件化的信息安（ān）全管理体系，阐（chǎn）述被保（bǎo）护（hù）的（de）资产、组织风险管理的渠道、控制（zhì）目（mù）标及控制方式和需要的保证（zhèng）等（děng）级；通过（guò）建立管理（lǐ）架构并加（jiā）以（yǐ）实施（shī）来达到（dào）识（shí）别控（kòng）制目标（biāo）和控制方式，并形成文件和记录。

BS7799-2：2002的（de）控（kòng）制细则包（bāo）括10个方面： 　

· 安全（quán）方针：为信息安全提供管理指导和（hé）支（zhī）持； 

· 组织安全：建立信息安（ān）全（quán）架（jià）构，保证组织的（de）内（nèi）部管理；被第三方访（fǎng）问或外协时，保障（zhàng）组织的信息安全（quán）； 

· 资（zī）产的归类与控制：明（míng）确资产责（zé）任，保（bǎo）持对组（zǔ）织资（zī）产的适当保护；将信息进行归（guī）类，确保信息资产受到适当程（chéng）度的保（bǎo）护； 

· 人员安全：在工作说（shuō）明（míng）和资源（yuán）方面，减（jiǎn）少因（yīn）人（rén）为错误、盗窃、欺诈和设（shè）施误用造成（chéng）的风险；加强用户培训，确保用户清楚知道信息安全（quán）的危险性和（hé）相关事项（xiàng），以便在他们的日（rì）常工作中支（zhī）持组织的安全方针；制（zhì）定安（ān）全事故或（huò）故障的反（fǎn）应程序（xù），减少由安（ān）全事故和故障造（zào）成（chéng）的损失，监控安全事件并从这（zhè）种事件中（zhōng）吸取教训； 

· 实物与环境安全：确定安全区域，防止非授权访问、破坏（huài）、干扰商务场所和信息；通过保障（zhàng）设备安全，防止资产（chǎn）的丢失、破坏、资产危害及（jí）商（shāng）务活动的中（zhōng）断；采用通用的控制（zhì）方式，防止信息或信息（xī）处理（lǐ）设施损坏或失窃； 

· 通信和操作（zuò）方式管理：明（míng）确操（cāo）作程序及其（qí）责任，确保信息处理（lǐ）设（shè）施（shī）的（de）正确、安全操作；加强系统策（cè）划与验收，减少系统（tǒng）失效风（fēng）险；防范恶意软件（jiàn）以保持（chí）软件和（hé）信息的完整（zhěng）性；加强内务管理（lǐ）以保持信息处（chù）理和通（tōng）讯服务的完（wán）整性和有效性（xìng）通过（guò） ; 加（jiā）强（qiáng）网络管理确（què）保网络中的信息安全及其辅助设施受到（dào）保护（hù）；通过（guò）保护（hù）媒体处（chù）理的安全 , 防止资产（chǎn）损坏和商务活动的中断；加强信息和软件的交换的（de）管（guǎn）理，防止组织间在交换信（xìn）息（xī）时发生丢失（shī）、更改和（hé）误用； 

· 访问控制：按照（zhào）访问（wèn）控（kòng）制的商务要求，控制（zhì）信息访问（wèn）；加强用（yòng）户（hù）访问管（guǎn）理，防止非授（shòu）权访问信息系（xì）统（tǒng）；明确用户职责，防止非授权的用户（hù）访问；加强网络访问控（kòng）制（zhì），保护网络服务程序；加强操作（zuò）系统访问控制 , 防（fáng）止（zhǐ）非授（shòu）权的计算机访问；加强（qiáng）应用访问（wèn）控制，防止（zhǐ）非授权访（fǎng）问系统中（zhōng）的信息；通过监控（kòng）系统（tǒng）的访问（wèn）与使用，监测非授权行（háng）为；在移动式计算和（hé）电传（chuán）工作方面 , 确保使用移动式计算和电传（chuán）工作设施的信息安（ān）全； 

· 系统开发与维（wéi）护：明确系统安全要求，确保安（ān）全（quán）性已构成信息系统的一部份；加（jiā）强应用系统的安全，防止应（yīng）用系统用户数据的丢失、被修改或（huò）误用；加强密码技术（shù）控制，保护信息的保（bǎo）密性（xìng）、可靠（kào）性或完整性（xìng）；加（jiā）强系统（tǒng）文件的安全，确保（bǎo） IT 方案（àn）及其支持（chí）活动以安全的方式进（jìn）行；加强开发和（hé）支持过程的安全，确保应用系（xì）统软件（jiàn）和信息的安（ān）全； 

· 商务连（lián）续性（xìng）管（guǎn）理：防止（zhǐ）商务活动的中断及保护关键商务过程不受重大失误或灾难事故的（de）影（yǐng）响； 

· 符合（hé）：符合法（fǎ）律（lǜ）法规要求，避免（miǎn）刑法、民法、有（yǒu）关（guān）法令（lìng）法规或合（hé）同约定事宜及其他安全（quán）要求的规定相抵触；加强安全方针（zhēn）和技术符合性（xìng）评审，确保体系按照组织的（de）安全方针及标准执行；系统审核考虑（lǜ）因素，使（shǐ）效果较大（dà）化 , 并使（shǐ）系统审核过（guò）程的影响较（jiào）小化。 　 

在国际标准 ISO/IEC17799 给出（chū）了为实现信息安全（quán）认证所需的（de）各项措施的详（xiáng）细指导，具有很强（qiáng）的可操作（zuò）性和指（zhǐ）导（dǎo）性。

归根结底，信息安全（quán）工作的目的就是（shì）在法律、法（fǎ）规（guī）、政策的（de）支持与指（zhǐ）导下，通过（guò）采用合（hé）适的安全（quán）技术与（yǔ）安全管理措施，提供安（ān）全需求的保（bǎo）证（zhèng），而 BS7799 信息安全认证（zhèng）标准正是总和了这些要（yào）求。组织可以（yǐ）根据自身（shēn）特点，在 ISO/IEC 17799 指导下，实现信息安全的要求。

 ISO27001：2005 《信息安全管（guǎn）理体（tǐ）系要求》

 ISO27001 ： 2005 《信息安全管理体系要求（qiú）》是关（guān）于信（xìn）息安全管理的（de）标（biāo）准，是标准不是方法，达到（dào）这些（xiē）标准的（de）要求并不难（nán），重要的是用（yòng）什么方法去实（shí）现。企业应将（jiāng）实施标准作为改善内部管理（lǐ）的一次机会，不应（yīng）该将标准做为一种简单的模（mó）式对现有（yǒu）流程（chéng）运作进行（háng）套用，应对现有的组织运作流程进行详（xiáng）细分析，有针对性地设（shè）计并改善现有管理体系、改（gǎi）善薄弱环节、改善运作流（liú）程及内部沟通，并（bìng）有效（xiào）地将好的管理思想融合到具体的实（shí）施（shī）程（chéng）序（xù）中（zhōng），才能发挥标准的真（zhēn）正作用。

获得认证证（zhèng）书不（bú）是zui终目的，建立有（yǒu）责、有序、有（yǒu）效的信息安全管理（lǐ）体系，提高（gāo）员（yuán）工的（de）信息安全意识，不断（duàn）获取并运用（yòng）好的管（guǎn）理方法和技术手段才能使（shǐ）企业（yè）的（de）信息安全管理水平得以持续的发展（zhǎn）和提（tí）升。