某公司遇到这样的难题：

A．当公司的项目经理面对客户时，客户会问：“你如何保障我的信息在你们公司是安全的？你如何保证我公司的信息不会透露给第三方？”

B．当项目经理为此客户解决了所有问题，双方的合作仅差一步时，项目经理却遇到这样的问题：“下个月就需要交付了，本来工期就比较紧，该死的病毒将我上周的数据资料全删掉了，我该怎么办？”

C．经理很无奈地说：“又一个骨干员工离职了，多少公司的信息又会被传播出去呀。”

D．最后事情到了总经理那里，总经理却感到：“客户在抱怨；项目不能如期交付；对客户的承诺要食言，公司机密在外传；公司的经营要出现危机，怎么办？”

这是一个已经通过CMMI认证公司的无奈。想必在很多企业中，这类问题也是屡见不鲜的，在面临这类问题时也是束手无策。俗话说“三分技术七分管理”，目前企业普遍采用现代化通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、缺乏完整的信息安全管理制度、相应的管理措施不到位。导致了许多信息安全事件的发生：系统瘫痪、黑客入侵、病毒感染、网页改写，甚至客户资料的流失，以及公司内部资料的泄漏等等。这些给企业的经营管理、生存及安全都带来了严重的影响。

ISO27000信息安全管理体系

此时ISO27000体系应运而生，因为企业信息化给企业能够带来高效的工作，持久的竞争力，但同时也带来了更多的风险。为了化解这种风险可能造成的恶劣结果，信息安全的重要性得到了越来越多企业管理者们的认可。

一、了解ISO27000信息安全体系：

ISO27000是由英国标准协会（British Standards Institution, BSI ）针对信息安全管理方面而制定的，最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织发布为正式的国际标准，用于组织的信息安全管理体系的建立，保障组织的信息安全，采用相关指定方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。是目前世界上唯一的信息安全管理标准，已被全球五千多家政府机构和知名企业所采用。如今是否通过ISO27000 在某些行业中，已经成为一些客户的要求条件之一。目前除英国外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对 ISO27000 感兴趣；我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。这套标准注重体系的完整性，强调对法律法规的符合性，并且可与ISO9000 标准有很强的兼容性。

二、ISO27001 在企业中的产生的作用：

强化员工的信息安全意识，规划组织信息安全行为；对组织的关键信息资产进行全部系统的保护，保持竞争优势；在信息系统受到侵袭时，确保业务持续开展，并将损失降到最低程度；使组织的业务伙伴和客户对组织充满信心；如果通过体系认证，表明体系符合标准，证明组织有能力保证信息安全，提高组织的知名度与信任度促进管理层坚持贯彻信息安全管理体系

三、您，为什么需要选择咨询机构来推动ISO27000信息安全体系

在很多时候，大部分企业限于自身经验、意识、技能的欠缺，往往在如何合理规划和有效实施方面陷入困境，毕竟信息安全建设是一项技术性很强而且尚处于探索阶段的全新课题，另一方面，ISO27001所要求建立的信息安全管理体系，较之纯粹的信息安全技术又更显得“务虚”和“高端”，是和组织的整体经营紧密相关的。面对这样全新而复杂的难题，传统行业内机构通常都会自叹摸不着头脑，大有“门外汉的感觉”。即便是始终走在信息通信领域前沿的高技术性企业，也不见得在信息安全管理方面有足够的积累。于是越来越多的组织选择求助于专业的咨询机构。独立的咨询机构可帮助设计一个可行、实际、成本合理的执行计划

三分技术七分管理——送给我们当下的企业，因为归根到底，信息安全并不是技术过程，而是管理过程。