BS 7799-2:2002信息安全管理体系规范向组织提出了一系列认证的要求,在总则中提出组织应建立并保持一个文件化的信息安全管理体系,阐述被保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证等级;通过建立管理架构并加以实施来达到识别控制目标和控制方式,并形成文件和记录。
BS 7799-2:2002的控制细则包括十个部分。
1、 安全方针:为信息安全提供管理指导和支持;
2、 组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信息安全;
3、 资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护;
4、人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训;
5、实物与环境安全:确定安全区域,防止非授权访问、破坏、干扰商务场所和信息;通过保障设备安全,防止资产的丢失、破坏、资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处理设施损坏或失窃;
6、通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确、安全操作;加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过;加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全,防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织间在交换信息时发生丢失、更改和误用。