·安全策略 Security policy
·資產(chǎn)和資源的組織 Organization of assets and resources
·人員安全 Personnel security
·物理和環(huán)境安全 Physical and environmental security
·通信和操作管理 Communication and operation management
·訪問(wèn)控制 Access control
·系統(tǒng)開(kāi)發(fā)和維護(hù) System development and maintenance
·業(yè)務(wù)連續(xù)性管理 Business continuity management
·符合性 Compliance

    第二部分，是建立信息安全管理體系(ISMS)的一套規(guī)范(Specification for Information Security Management Systems)，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI最終的認(rèn)證(對(duì)依據(jù)BS7799-2建立的ISMS進(jìn)行認(rèn)證)，還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程。目前，BS 7799-2的2002年版本已經(jīng)遞交ISO組織，可望成為國(guó)際標(biāo)準(zhǔn)。
    BS7799標(biāo)準(zhǔn)要求基于PDCA管理模型來(lái)建立和維護(hù)信息安全管理體系(ISMS)。為了實(shí)現(xiàn)ISMS，組織應(yīng)該在計(jì)劃(Plan)階段通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求，然后根據(jù)需求設(shè)計(jì)解決方案；在實(shí)施(Do)階段將解決方案付諸實(shí)現(xiàn)；解決方案是否有效？是否有新的變化？應(yīng)該在檢查(Check)階段予以監(jiān)視和審查；一旦發(fā)現(xiàn)問(wèn)題，需要在措施(Act)階段予以解決，以便改進(jìn)ISMS。通過(guò)這樣的過(guò)程周期，組織就能將確切的信息安全需求和期望轉(zhuǎn)化為可管理的信息安全體系。