对于任何一个组织来说,想获得百分之百的信息安全是不现实的、也是不可行的;建立信息安全管理体系(ISMS),符合ISO27001标准并且获得ISO27001证书,可以说明组织具备了保护信息安全的能力,但并不能证明组织达到了百分之百的安全,除非停止所有的组织活动。
但即使是这样,作为一个全球公认的最权威的信息安全管理体系标准,ISO27001能给组织带来的将是由里到外全面的价值提升,就像下表所列举的那样。
针对性 | 获益点 | 简单说明 |
法律法规 | 遵守适用法律 | ISO27001信息安全管理体系证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从一定角度讲,ISO27001 标准是对适用法律法规的补充和注解,因为ISO27001标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在很多国家相关的信息保护法规中都有体现(例如美国的SOX法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等);另一方面,很多国家所推行的相关的行业指导性文件及要求,又可能是参照ISO27001信息安全管理体系标准而拟定的。 因此,通过ISO27001认证,可以使组织更有效地履行国家法律和行业规范的要求。 |
| 外部期望 | 提升信誉,增强信心 | 当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求组织建立信息安全管理体系,并要求组织获取ISO27001认证证书了。 |
| 管理层 | 履行责任 | ISO27001证书的获得,可以证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 |
| 员工 | 增强意识、责任感和相关技能 | 增强员工的信息安全意识,提高其责任感,减少人为原因造成的不必要的损失,规范组织信息安全行为。 |
| 核心业务 | 保证持续运行 | 全面的信息安全管理体系(ISMS)的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架。 |
| 信息环境日常运作 | 实现风险管理 | 有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。全面了解自身的重要信息资产和信息安全现状,使企业的信息安全得到有效管理和控制。 |
| 财务状况 | 减少损失,降低成本 | 信息安全管理体系(ISMS)的实施,本身也能降低因为潜在安全事件发生而给组织带来的损失,另外,也有可能减少保险金支出。 |
所以组织建立信息安全管理体系,并通过权威机构的认可,取得ISO27001认证证书是非常有必要的。