BS7799-2：2002信息安全管理体系规（guī）范向组织提出了一系（xì）列（liè）认证（zhèng）的要求，在（zài）总则（zé）中提出组（zǔ）织应建立并保持一个（gè）文件化的信息安全管理体系，阐述被保护的资产、组织风（fēng）险管（guǎn）理的（de）渠道、控制目标及控制方（fāng）式和需要的保证等级；通（tōng）过建（jiàn）立管理架构（gòu）并（bìng）加以（yǐ）实施来达（dá）到识别（bié）控（kòng）制目（mù）标和控（kòng）制（zhì）方式，并形（xíng）成文件和（hé）记录。

BS7799-2：2002的控制细（xì）则包（bāo）括10个方面： 　

· 安全方（fāng）针：为信息安全提供管（guǎn）理指导（dǎo）和支持； 

· 组织安（ān）全：建（jiàn）立信息安全（quán）架构，保证组织的（de）内部管理；被第三方访问或外协时，保障组织的信息安全； 

· 资产的归类与（yǔ）控（kòng）制（zhì）：明确资（zī）产责任（rèn），保持对组织（zhī）资产的适当保护；将信息进行（háng）归类，确保信息（xī）资（zī）产受到适当程（chéng）度的保护； 

· 人员安全：在（zài）工作说明和资（zī）源方面，减少因人为（wéi）错误、盗窃、欺诈和（hé）设施误用造成的风险；加强用户培训，确保用（yòng）户（hù）清楚（chǔ）知道信息安全（quán）的危险性和相（xiàng）关事项，以（yǐ）便（biàn）在他们的日常工（gōng）作中支持组织的安全方针（zhēn）；制（zhì）定安全事故或故障的反应程（chéng）序（xù），减少由安（ān）全事故和故障（zhàng）造成的损失（shī），监控（kòng）安（ān）全事件并从这种事件中吸取教训； 

· 实物与环境安全：确定（dìng）安全区域，防（fáng）止非授权访问、破坏、干扰商务场所和（hé）信息；通过保障设备安（ān）全，防止资产的（de）丢失、破坏、资（zī）产（chǎn）危害（hài）及（jí）商务（wù）活（huó）动的中断；采用通用的控制方式，防止信息或信息处理（lǐ）设（shè）施损坏或失窃； 

· 通信和（hé）操作方式管（guǎn）理：明确操作（zuò）程序及（jí）其责任，确保信息处理设施的正确、安（ān）全（quán）操作；加强系（xì）统策划与验收，减少系统失效风险；防范恶意（yì）软件以保持软件和信息的完整性；加强内（nèi）务（wù）管理以保持信息处理和通讯服务的完整性和有效性通过（guò） ; 加强网络管理（lǐ）确保网络中的信息（xī）安全（quán）及其辅助设施受到（dào）保护；通过保护（hù）媒体处理（lǐ）的安全 , 防止资产损坏和商务活动的中断；加强信息（xī）和软件的交换（huàn）的管理，防止组（zǔ）织（zhī）间在交换信（xìn）息（xī）时发生丢失、更改（gǎi）和误用； 

· 访问控（kòng）制：按照访问控制的商务要求（qiú），控制信息访问；加强用（yòng）户访问管理，防止（zhǐ）非授权访（fǎng）问信息系统（tǒng）；明确用户职责，防止非授权的用户访问；加强网络（luò）访问（wèn）控（kòng）制，保护网络服务（wù）程序；加强操作系统访问控制 , 防止非授权的计算机访问；加强应用访问控制，防止非授权访问（wèn）系统中的信息（xī）；通过监控系统的（de）访问与使用，监测非授权行为；在移（yí）动式计算和电传工作方面 , 确保使用移动式计算和电传工作设（shè）施的（de）信息（xī）安（ān）全（quán）； 

· 系统开发（fā）与维护：明（míng）确系统安全要（yào）求，确保安全性已构（gòu）成信息系统的（de）一部份；加强应用系统的（de）安全，防止（zhǐ）应用（yòng）系（xì）统用户数据的（de）丢失、被修改（gǎi）或误用；加（jiā）强密（mì）码技术控制，保护信息的保密性、可靠性（xìng）或完整性；加强系统文件的安全，确保 IT 方（fāng）案及其支持活动以安（ān）全的方式进行；加强开发和支持（chí）过程（chéng）的安全，确（què）保应用（yòng）系统软（ruǎn）件和信息的安全； 

· 商务连续性（xìng）管理（lǐ）：防止商务活（huó）动的中断及保（bǎo）护关键商务过程不受（shòu）重大失误或灾难事故的影响； 

· 符合：符合法律法规（guī）要（yào）求，避免刑（xíng）法、民法（fǎ）、有关（guān）法令法规或合同约定事宜及其他安全要求的（de）规定相抵触；加强安全方针和（hé）技术（shù）符合性评（píng）审（shěn），确保体系按（àn）照组（zǔ）织的安全方针及标准执（zhí）行；系统审核（hé）考虑因素，使效（xiào）果较大化 , 并使系统（tǒng）审核过程的影（yǐng）响较小（xiǎo）化。 　 

在国际标（biāo）准 ISO/IEC17799 给出了为（wéi）实现（xiàn）信息（xī）安全认证所需的各项（xiàng）措施的详细指导，具有很强的（de）可操作性和（hé）指导性。

归根结（jié）底，信息安（ān）全工作的目的就是在法律、法规、政（zhèng）策（cè）的支持与指导下，通过采用合适的安全技术与安全管理措施，提供安全（quán）需求的保证，而 BS7799 信息安（ān）全（quán）认证标准正是总和了这些要求（qiú）。组织可以根（gēn）据自身特点，在 ISO/IEC 17799 指（zhǐ）导（dǎo）下，实现信息安全的要求。

 ISO27001：2005 《信息安全管理（lǐ）体系要求》

 ISO27001 ： 2005 《信息安（ān）全管理体（tǐ）系要求》是（shì）关（guān）于（yú）信息（xī）安全管理的（de）标准，是（shì）标准（zhǔn）不是方法，达（dá）到这些（xiē）标准（zhǔn）的要求并不难，重要的是（shì）用（yòng）什么（me）方（fāng）法（fǎ）去（qù）实现。企（qǐ）业应将实施标准作为改善内部管（guǎn）理的一次机会，不应该将标准做为一种简单的（de）模式（shì）对现有流程运作进（jìn）行套用，应（yīng）对（duì）现有的组（zǔ）织运作流程进行详细分（fèn）析，有针对性地设（shè）计并改善现有管理体系、改善薄（báo）弱环节、改善运作流程及内（nèi）部沟通，并有效地将（jiāng）好的管理（lǐ）思想融合到具体（tǐ）的实施程序中，才能发挥（huī）标准的真（zhēn）正作用。

获（huò）得认证证（zhèng）书不是zui终目的，建立有责、有序、有效的信息安全管理体系，提高员（yuán）工的信息安全意识，不断获取（qǔ）并（bìng）运用好的管理方（fāng）法和技术（shù）手（shǒu）段才能使企业的信息安全（quán）管理水平得以持续的（de）发展和提（tí）升。