BS7799-2：2002信息安全管理體系規范向組織提出了一系列認證的要求，在總則中提出組織應建立并保持一個文件化的信息安全管理體系，闡述被保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證等級；通過建立管理架構并加以實施來達到識別控制目標和控制方式，并形成文件和記錄。

BS7799-2：2002的控制細則包括10個方面： 　

· 安全方針：為信息安全提供管理指導和支持； 

· 組織安全：建立信息安全架構，保證組織的內部管理；被第三方訪問或外協時，保障組織的信息安全； 

· 資產的歸類與控制：明確資產責任，保持對組織資產的適當保護；將信息進行歸類，確保信息資產受到適當程度的保護； 

· 人員安全：在工作說明和資源方面，減少因人為錯誤、盜竊、欺詐和設施誤用造成的風險；加強用戶培訓，確保用戶清楚知道信息安全的危險性和相關事項，以便在他們的日常工作中支持組織的安全方針；制定安全事故或故障的反應程序，減少由安全事故和故障造成的損失，監控安全事件并從這種事件中吸取教訓； 

· 實物與環境安全：確定安全區域，防止非授權訪問、破壞、干擾商務場所和信息；通過保障設備安全，防止資產的丟失、破壞、資產危害及商務活動的中斷；采用通用的控制方式，防止信息或信息處理設施損壞或失竊； 

· 通信和操作方式管理：明確操作程序及其責任，確保信息處理設施的正確、安全操作；加強系統策劃與驗收，減少系統失效風險；防范惡意軟件以保持軟件和信息的完整性；加強內務管理以保持信息處理和通訊服務的完整性和有效性通過 ; 加強網絡管理確保網絡中的信息安全及其輔助設施受到保護；通過保護媒體處理的安全 , 防止資產損壞和商務活動的中斷；加強信息和軟件的交換的管理，防止組織間在交換信息時發生丟失、更改和誤用； 

· 訪問控制：按照訪問控制的商務要求，控制信息訪問；加強用戶訪問管理，防止非授權訪問信息系統；明確用戶職責，防止非授權的用戶訪問；加強網絡訪問控制，保護網絡服務程序；加強操作系統訪問控制 , 防止非授權的計算機訪問；加強應用訪問控制，防止非授權訪問系統中的信息；通過監控系統的訪問與使用，監測非授權行為；在移動式計算和電傳工作方面 , 確保使用移動式計算和電傳工作設施的信息安全； 

· 系統開發與維護：明確系統安全要求，確保安全性已構成信息系統的一部份；加強應用系統的安全，防止應用系統用戶數據的丟失、被修改或誤用；加強密碼技術控制，保護信息的保密性、可靠性或完整性；加強系統文件的安全，確保 IT 方案及其支持活動以安全的方式進行；加強開發和支持過程的安全，確保應用系統軟件和信息的安全； 

· 商務連續性管理：防止商務活動的中斷及保護關鍵商務過程不受重大失誤或災難事故的影響； 

· 符合：符合法律法規要求，避免刑法、民法、有關法令法規或合同約定事宜及其他安全要求的規定相抵觸；加強安全方針和技術符合性評審，確保體系按照組織的安全方針及標準執行；系統審核考慮因素，使效果較大化 , 并使系統審核過程的影響較小化。 　 

在國際標準 ISO/IEC17799 給出了為實現信息安全認證所需的各項措施的詳細指導，具有很強的可操作性和指導性。

歸根結底，信息安全工作的目的就是在法律、法規、政策的支持與指導下，通過采用合適的安全技術與安全管理措施，提供安全需求的保證，而 BS7799 信息安全認證標準正是總和了這些要求。組織可以根據自身特點，在 ISO/IEC 17799 指導下，實現信息安全的要求。

 ISO27001：2005 《信息安全管理體系要求》

 ISO27001 ： 2005 《信息安全管理體系要求》是關于信息安全管理的標準，是標準不是方法，達到這些標準的要求并不難，重要的是用什么方法去實現。企業應將實施標準作為改善內部管理的一次機會，不應該將標準做為一種簡單的模式對現有流程運作進行套用，應對現有的組織運作流程進行詳細分析，有針對性地設計并改善現有管理體系、改善薄弱環節、改善運作流程及內部溝通，并有效地將好的管理思想融合到具體的實施程序中，才能發揮標準的真正作用。

獲得認證證書不是zui終目的，建立有責、有序、有效的信息安全管理體系，提高員工的信息安全意識，不斷獲取并運用好的管理方法和技術手段才能使企業的信息安全管理水平得以持續的發展和提升。