含義：

信息安全在企業(yè)風(fēng)險(xiǎn)管理中極為重要，強(qiáng)調(diào)對(duì)一個(gè)組織運(yùn)行所必需的IT系統(tǒng)和信息的保密性、完整性、可用性的保護(hù)，提高投資回報(bào)率，降低由信息安全事故造成的損失及業(yè)務(wù)中斷的風(fēng)險(xiǎn)。

ISO27001體系已由國(guó)際標(biāo)準(zhǔn)組織頒布為國(guó)際標(biāo)準(zhǔn)ISO 27001:2005，是目前世界上唯一的“信息安全管理標(biāo)準(zhǔn)”，成為“信息安全管理”之國(guó)際通用語(yǔ)言，并被全球五千多家政府機(jī)構(gòu)和知名企業(yè)所采用。

其方法是通過“風(fēng)險(xiǎn)評(píng)估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求，有效降低企業(yè)面臨的風(fēng)險(xiǎn)。建立信息安全管理體系（ISMS）已成為各種組織，特別是高科技產(chǎn)業(yè)、金融機(jī)構(gòu)等管理運(yùn)營(yíng)風(fēng)險(xiǎn)不可缺少的重要機(jī)制。在某些行業(yè)，如軟件外包，ISO27001認(rèn)證已經(jīng)成為客戶要求必備條件。

意義：

（1）符合有關(guān)法律法規(guī)的規(guī)定

該組織可以向當(dāng)局表明，該組織遵循所有可用的相關(guān)法律法規(guī)。和相關(guān)方的信息系統(tǒng)優(yōu)化、專利權(quán)、商業(yè)秘密等。

（2）聲譽(yù)、知名品牌和客戶信任

取得證書可以加強(qiáng)員工的信息安全理念，規(guī)范個(gè)人信息安全行為的組織，減少人為因素造成的不必要損失。

（3）執(zhí)行信息安全管理方法的義務(wù)

取得證書可以證明組織在不同層次的安全保護(hù)上投入了有效管理者的勤奮，表明高管履行了相關(guān)義務(wù)。

（4）提高員工的觀念、使命感和相關(guān)專業(yè)技能

取得證書可以加強(qiáng)員工的信息安全理念，規(guī)范個(gè)人信息安全行為的組織，減少人為因素造成的不必要損失。

（5）保持業(yè)務(wù)流程的可持續(xù)發(fā)展趨勢(shì)和核心競(jìng)爭(zhēng)力

創(chuàng)建全面的信息安全系統(tǒng)管理代表了對(duì)關(guān)鍵業(yè)務(wù)流程的適當(dāng)保護(hù)，創(chuàng)建了合理有效的業(yè)務(wù)流程連續(xù)方案架構(gòu)，提高了組織的核心競(jìng)爭(zhēng)力。

（6）完成風(fēng)險(xiǎn)控制

有利于更好地掌握信息系統(tǒng)軟件，發(fā)現(xiàn)存在的不足和保護(hù)方法，確保組織本身的信息財(cái)產(chǎn)在有效完善的架構(gòu)下得到適當(dāng)?shù)谋Ｗo(hù)，確保信息自然環(huán)境的有序穩(wěn)定運(yùn)行。

（7）減少損失，控制成本

減少潛在安全事故給組織造成的損失。當(dāng)信息系統(tǒng)軟件被侵蝕時(shí)，業(yè)務(wù)流程可以繼續(xù)進(jìn)行，損失可以較小化。