BS7799-2：2002信息安全管理体（tǐ）系规范向组织（zhī）提（tí）出了一系列认证的（de）要（yào）求，在总则中（zhōng）提出（chū）组（zǔ）织应（yīng）建立（lì）并保持一个（gè）文件化的信息安（ān）全管理（lǐ）体系，阐述被保护（hù）的资产、组（zǔ）织风险管（guǎn）理的渠道、控（kòng）制目标及控制方式和需要的保（bǎo）证等级；通过建立（lì）管理架构并加以实施来达到识别（bié）控制目（mù）标和控制方式，并形成（chéng）文（wén）件（jiàn）和记录。

BS7799-2：2002的控制细（xì）则包括10个方（fāng）面（miàn）： 　

· 安全方针（zhēn）：为（wéi）信（xìn）息安全提供管理指（zhǐ）导和支持； 

· 组织安全（quán）：建（jiàn）立信（xìn）息安全架构（gòu），保证组织的内部管理；被第三方访问或外（wài）协（xié）时（shí），保障（zhàng）组织的信息安全（quán）； 

· 资产的归类与控制（zhì）：明（míng）确资产责任，保持对组织资（zī）产（chǎn）的适当（dāng）保（bǎo）护；将信息进（jìn）行归（guī）类，确保信息资产受到适当（dāng）程度（dù）的保（bǎo）护； 

· 人员安（ān）全：在工作说明和资源方面，减少因人为错（cuò）误、盗窃、欺诈（zhà）和设施误（wù）用造成（chéng）的风险；加（jiā）强（qiáng）用户培训（xùn），确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工（gōng）作中支持组织的安全方针；制定安全事故或故（gù）障的反（fǎn）应程（chéng）序（xù），减少由安全事故和故障造成的损失，监控安全事件并（bìng）从（cóng）这种（zhǒng）事件中吸取教训； 

· 实物与（yǔ）环境安全：确（què）定安全区域，防止非授权访（fǎng）问（wèn）、破（pò）坏、干扰商务（wù）场所和信息；通（tōng）过保障设备安全，防止资产的丢（diū）失、破坏（huài）、资产危（wēi）害及商（shāng）务活动的中（zhōng）断；采（cǎi）用通用（yòng）的控制方式，防止信息或信息处理设（shè）施（shī）损坏或失窃； 

· 通信（xìn）和操（cāo）作方式管理：明确操作（zuò）程序及其责任，确保（bǎo）信息处理设施的（de）正确、安全（quán）操（cāo）作；加强系统策划与验收，减少系统失效（xiào）风险；防范恶意软件（jiàn）以保持软件和信息的完（wán）整（zhěng）性；加强内务管理以（yǐ）保持信息处理（lǐ）和通讯服务的完整（zhěng）性和有（yǒu）效性（xìng）通过 ; 加强网络管理确保网络（luò）中的信息安（ān）全及其辅（fǔ）助设施受到保护（hù）；通过保护媒体（tǐ）处理的安全 , 防止资产损坏和商务活动的中断；加强（qiáng）信息和软件的（de）交换的管理，防止组织间在交换信息时发生丢失、更改和（hé）误用（yòng）； 

· 访问控制（zhì）：按（àn）照访问（wèn）控制的商务（wù）要求，控制信息访问；加（jiā）强用户访问管（guǎn）理，防止非（fēi）授权访问信息系统（tǒng）；明（míng）确用户（hù）职责，防（fáng）止（zhǐ）非授权的用户访问（wèn）；加强（qiáng）网络访（fǎng）问控（kòng）制，保护网络（luò）服务程序；加（jiā）强操作系统访问控制 , 防止非授权的计算机访（fǎng）问；加强应用访问控（kòng）制，防止（zhǐ）非授权访问系（xì）统中的信息；通（tōng）过监控系统（tǒng）的访问与使用（yòng），监测非授（shòu）权行（háng）为；在移动式（shì）计（jì）算和电传工作方（fāng）面 , 确保使用移动式计算（suàn）和（hé）电传工作（zuò）设施（shī）的信息安全（quán）； 

· 系统开（kāi）发（fā）与维护：明确（què）系统安全要求（qiú），确保安全（quán）性已构成信息系统的一部份；加强（qiáng）应（yīng）用系统的（de）安全，防止应用系统用户数据的丢失（shī）、被修改或（huò）误用；加（jiā）强密码技术控（kòng）制（zhì），保护（hù）信息的保密性、可靠性或完整（zhěng）性；加强系统文件的安全，确保（bǎo） IT 方案及其支持（chí）活动以（yǐ）安全的方式（shì）进行；加强开（kāi）发和支持（chí）过程（chéng）的安全，确保应用系统软件和信（xìn）息的安全； 

· 商务连（lián）续性管（guǎn）理：防止商务活动的中断及保护关键商务过（guò）程（chéng）不受重大失（shī）误或灾难事故的影响； 

· 符（fú）合：符（fú）合法（fǎ）律法规（guī）要（yào）求（qiú），避（bì）免刑法、民法、有关法令（lìng）法规或合同约定（dìng）事宜及其他安全要求的规定相抵（dǐ）触；加强安全（quán）方针和技术符（fú）合性评审，确（què）保体系按照（zhào）组织的安全方针及标（biāo）准执行（háng）；系统审（shěn）核考（kǎo）虑因素，使效果较大化 , 并使系统审核（hé）过程的（de）影响较小化。 　 

在国际标准 ISO/IEC17799 给出了（le）为实现信息安（ān）全认证所需的（de）各（gè）项（xiàng）措施的详（xiáng）细（xì）指（zhǐ）导，具有很强的可操作性（xìng）和（hé）指导性。

归根结底，信（xìn）息安全工作的（de）目（mù）的就是（shì）在法（fǎ）律、法规、政策（cè）的支持与指（zhǐ）导下，通（tōng）过采用（yòng）合适的安全技（jì）术与安全管理措施，提供（gòng）安全需求的保证，而（ér） BS7799 信（xìn）息安全（quán）认（rèn）证标（biāo）准正是总和了这些（xiē）要求。组织可以根（gēn）据自（zì）身特点，在 ISO/IEC 17799 指导下，实（shí）现信息安全的要（yào）求。

 ISO27001：2005 《信息（xī）安（ān）全管（guǎn）理体（tǐ）系（xì）要（yào）求》

 ISO27001 ： 2005 《信（xìn）息安全管（guǎn）理（lǐ）体系要求（qiú）》是关于信息安全管理的（de）标（biāo）准，是（shì）标准不是方法（fǎ），达到这些（xiē）标准的要（yào）求并不难，重要的是用什么方法（fǎ）去实现。企业应将实施标准作为改善内部管理的一次机会，不应（yīng）该将标准做为一种简单的（de）模式对现有流程运作进行套用（yòng），应（yīng）对现有的组织运作流程进行详细分析，有（yǒu）针对性地设计（jì）并（bìng）改善现有管理体（tǐ）系、改善（shàn）薄弱环节、改（gǎi）善运作流程及内部（bù）沟通，并有效地将（jiāng）好的管理思想融合到具体的实（shí）施程序中，才能发挥标准的真正作用。

获得认证证书不是zui终目的，建立有责、有序、有效的信息安全管（guǎn）理体系（xì），提高员工的信（xìn）息（xī）安全意（yì）识，不（bú）断获取（qǔ）并运（yùn）用（yòng）好的管理（lǐ）方（fāng）法（fǎ）和技（jì）术手段才能（néng）使（shǐ）企业（yè）的信息（xī）安（ān）全（quán）管理水平得以持（chí）续的发展和提升。