BS7799-2：2002信(xin)息安全(quan)管(guan)(guan)(guan)理體系規范(fan)向(xiang)組(zu)(zu)織(zhi)提(ti)(ti)出了一(yi)系列認證的(de)(de)要求，在總則中提(ti)(ti)出組(zu)(zu)織(zhi)應建(jian)立并保持一(yi)個文件化(hua)的(de)(de)信(xin)息安全(quan)管(guan)(guan)(guan)理體系，闡述被保護的(de)(de)資產、組(zu)(zu)織(zhi)風險管(guan)(guan)(guan)理的(de)(de)渠道、控(kong)制(zhi)(zhi)目(mu)標及控(kong)制(zhi)(zhi)方(fang)式和(he)需要的(de)(de)保證等級；通(tong)過建(jian)立管(guan)(guan)(guan)理架構(gou)并加以實施來達到識別控(kong)制(zhi)(zhi)目(mu)標和(he)控(kong)制(zhi)(zhi)方(fang)式，并形成文件和(he)記(ji)錄。

BS7799-2：2002的控制細則包括10個(ge)方面(mian)： 　

· 安(an)全(quan)方針：為信(xin)息安(an)全(quan)提(ti)供(gong)管理指導和支持； 

· 組(zu)織(zhi)安全(quan)(quan)：建(jian)立信(xin)息(xi)(xi)安全(quan)(quan)架(jia)構(gou)，保(bao)證組(zu)織(zhi)的內部管理；被第三方(fang)訪問或(huo)外協(xie)時(shi)，保(bao)障組(zu)織(zhi)的信(xin)息(xi)(xi)安全(quan)(quan)； 

· 資產(chan)的(de)(de)歸類與控制：明確資產(chan)責任(ren)，保持對組織資產(chan)的(de)(de)適當保護(hu)；將信息進行歸類，確保信息資產(chan)受(shou)到(dao)適當程度(du)的(de)(de)保護(hu)； 

· 人(ren)員(yuan)安全(quan)：在(zai)工作說(shuo)明和(he)資(zi)源(yuan)方面，減少因人(ren)為錯(cuo)誤、盜(dao)竊、欺詐和(he)設施誤用(yong)造(zao)成(cheng)的(de)(de)風險(xian)；加強(qiang)用(yong)戶培(pei)訓，確保用(yong)戶清楚知(zhi)道信息安全(quan)的(de)(de)危(wei)險(xian)性和(he)相(xiang)關事(shi)(shi)項，以便在(zai)他(ta)們的(de)(de)日常工作中(zhong)支持組織的(de)(de)安全(quan)方針；制定安全(quan)事(shi)(shi)故(gu)或故(gu)障(zhang)的(de)(de)反應程序，減少由安全(quan)事(shi)(shi)故(gu)和(he)故(gu)障(zhang)造(zao)成(cheng)的(de)(de)損失，監控安全(quan)事(shi)(shi)件并從這種事(shi)(shi)件中(zhong)吸(xi)取教(jiao)訓； 

· 實(shi)物與環境安全(quan)：確定安全(quan)區域，防止非授權(quan)訪問、破壞(huai)、干(gan)擾商務場所和信(xin)息(xi)；通過保障設備安全(quan)，防止資產(chan)的(de)(de)丟失(shi)、破壞(huai)、資產(chan)危害及(ji)商務活動的(de)(de)中斷；采用(yong)通用(yong)的(de)(de)控制方式，防止信(xin)息(xi)或(huo)信(xin)息(xi)處理設施損(sun)壞(huai)或(huo)失(shi)竊； 

· 通信和操作方式管理：明確操作程序及其責任，確保信息處理設施的正確、安全操作；加強系統策劃與驗收，減少系統失效風險；防范惡意軟件以保持軟件和信息的完整性；加強內務管理以保持信息處理和通訊服務的完整性和有效性通過 ; 加強網絡管理(li)確(que)保網絡中的信息安全及其(qi)輔助設施受到(dao)保護(hu)；通(tong)過(guo)保護(hu)媒體處理(li)的安全 , 防止資產損壞(huai)和商務活(huo)動的中斷；加強信息和軟件的交換的管理(li)，防止組(zu)織間在交換信息時(shi)發生丟失、更改和誤用； 

· 訪問控制：按照訪問控制的商務要求，控制信息訪問；加強用戶訪問管理，防止非授權訪問信息系統；明確用戶職責，防止非授權的用戶訪問；加強網絡訪問控制，保護網絡服務程序；加強操作系統訪問控制 , 防止非授權(quan)的計算機訪(fang)問(wen)(wen)；加強應(ying)用訪(fang)問(wen)(wen)控制(zhi)，防止非授權(quan)訪(fang)問(wen)(wen)系(xi)(xi)統中的信息(xi)；通過監控系(xi)(xi)統的訪(fang)問(wen)(wen)與使用，監測非授權(quan)行為；在(zai)移動式計算和(he)電傳(chuan)工作方(fang)面 , 確保使用移(yi)動式計算和電傳工作設施的信息安(an)全； 

· 系統開發與維護：明確系統安全要求，確保安全性已構成信息系統的一部份；加強應用系統的安全，防止應用系統用戶數據的丟失、被修改或誤用；加強密碼技術控制，保護信息的保密性、可靠性或完整性；加強系統文件的安全，確保 IT 方案(an)及其(qi)支(zhi)持活(huo)動以安(an)全(quan)(quan)的(de)方式進行；加強開發和支(zhi)持過程(cheng)的(de)安(an)全(quan)(quan)，確保應(ying)用系統軟件和信息的(de)安(an)全(quan)(quan)； 

· 商(shang)務(wu)連續性管理：防止商(shang)務(wu)活動的(de)中斷及保護關鍵商(shang)務(wu)過程不受重大失(shi)誤或災難事故的(de)影(ying)響； 

· 符合：符合法律法規要求，避免刑法、民法、有關法令法規或合同約定事宜及其他安全要求的規定相抵觸；加強安全方針和技術符合性評審，確保體系按照組織的安全方針及標準執行；系統審核考慮因素，使效果較大化 , 并使(shi)系(xi)統審核(he)過程的影響(xiang)較小(xiao)化。 　 

在國際標準 ISO/IEC17799 給出了(le)為實現信(xin)息安全認證所需的(de)各項措施的(de)詳(xiang)細指導，具有很強的(de)可操作性和(he)指導性。

歸根結底，信息安全工作的目的就是在法律、法規、政策的支持與指導下，通過采用合適的安全技術與安全管理措施，提供安全需求的保證，而 BS7799 信息安全(quan)認證標準正是總和了(le)這些要求。組織可以根據自身特點，在(zai) ISO/IEC 17799 指導下(xia)，實現信息安(an)全的要求。

 ISO27001：2005 《信息(xi)安全管理體(ti)(ti)系要求》

 ISO27001 ： 2005 《信息(xi)安(an)全管(guan)(guan)理(li)體系要求》是關于(yu)信息(xi)安(an)全管(guan)(guan)理(li)的(de)標(biao)準(zhun)(zhun)，是標(biao)準(zhun)(zhun)不(bu)是方(fang)法，達到(dao)這些標(biao)準(zhun)(zhun)的(de)要求并(bing)(bing)不(bu)難，重要的(de)是用(yong)什么方(fang)法去實(shi)現(xian)(xian)。企業應(ying)將(jiang)實(shi)施標(biao)準(zhun)(zhun)作(zuo)(zuo)(zuo)為改(gai)善(shan)內部管(guan)(guan)理(li)的(de)一(yi)次機會(hui)，不(bu)應(ying)該將(jiang)標(biao)準(zhun)(zhun)做(zuo)為一(yi)種簡單的(de)模式對(dui)現(xian)(xian)有(you)(you)流程運作(zuo)(zuo)(zuo)進行(xing)套用(yong)，應(ying)對(dui)現(xian)(xian)有(you)(you)的(de)組織運作(zuo)(zuo)(zuo)流程進行(xing)詳細分析(xi)，有(you)(you)針對(dui)性地(di)設計并(bing)(bing)改(gai)善(shan)現(xian)(xian)有(you)(you)管(guan)(guan)理(li)體系、改(gai)善(shan)薄弱環(huan)節、改(gai)善(shan)運作(zuo)(zuo)(zuo)流程及內部溝通，并(bing)(bing)有(you)(you)效(xiao)地(di)將(jiang)好的(de)管(guan)(guan)理(li)思想融合到(dao)具(ju)體的(de)實(shi)施程序中，才能發(fa)揮(hui)標(biao)準(zhun)(zhun)的(de)真正作(zuo)(zuo)(zuo)用(yong)。

獲得認證證書不(bu)是zui終目(mu)的(de)(de)，建立有責、有序、有效的(de)(de)信(xin)息安全(quan)管理體系，提高員工的(de)(de)信(xin)息安全(quan)意識，不(bu)斷獲取(qu)并運用好的(de)(de)管理方(fang)法和(he)技(ji)術手段才能使企業的(de)(de)信(xin)息安全(quan)管理水平得以持(chi)續的(de)(de)發展(zhan)和(he)提升。