在您的企业中，是否已经设立了信息安全专业部门和专职岗位？是否已经有了保障您公司信息安全的专业人员了呢？

随着信息技术应用的日益普遍，以及各种组织关键业务的紧密结合，使信息资产在各种组织中的战略意义日益突显，亦使信息资产的有效管理与控制成为组织提高核心竞争力的重要途径。身处信息时代，企业不论在规模、结构、性质或产业上所提供给客户的各类服务，其前提条件一定需为安全的服务，信息安全和风险管理因而更显重要。ISO国际认证，不仅是衡量组织信息安全的管理水平，更是组织更高管理水平和竞争力的标志，面对全球化企业营运竞争压力，对建立信息安全系统与风险管理制度，应是各企业主首要之考虑，若无法掌握导入契机，对提升国际竞争力将影响甚巨。

ISO27001（BS7799/ISO17799）国际标准究竟是什么？它如何帮助一个组织更加有效地管理信息安全？BS7799/ISO27001和ISO9001之间有什么联系？初次涉猎信息安全管理领域应该掌握哪些内容，以便组织发起信息安全管理项目？如何获得BS7799国际标准认证？

信息安全和法律法规，业内人士对ISO27001认证趋之若鹜，这其中有两个关键性的驱动因素：

一、益严峻的信息安全威胁

二、不断增长的信息保护相关法规的需求　

本质上说，信息安全威胁是全球化的。一般来说，它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是，其他各种形式的危险也在整日威胁数据安全，包括从外部攻击行为到内部破坏、偷盗等一系列危险。

过去的十年内，围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大，其中包括专门针对个人数据保护问题的，也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前，建立这样的管理体系逐渐成为诸多合规项目的必要条件，与此同时，针对该管理体系的认证逐渐成为各种组织（包括政府部门）的热门需求，这份认证可以为他们带来重要的潜在商业合同。

信息安全和技术，绝大多数人认为信息安全是一个纯粹的有关技术的话题，只有那些技术人员，尤其是计算机安全技术人员，才能够处理任何保障数据和计算机安全的相关事宜。这固然有一定道理。不过，实际上，恰恰是计算机用户本身需要考虑这样的问题：避免哪些威胁？在信息安全和信息通畅中如何平衡取舍？的确如此，一旦用户给出答案，计算机安全专家就可以设计并执行一个技术方案以达成用户需求。　　在组织内部，管理层应当负责决策，而不是IT部门。一个规范的信息安全管理体系必须明确指出，组织机构董事会和管理层应当负责相关信息安全管理体系的决策，同时，这个体系也应当能够反映这种决策，并且在运行过程中能够提供证据证明其有效性。

所以机构组织内部的信息安全管理体系的建立项目不必由一个技术专家来领导。事实上，技术专家在很多情况下起到相反的作用，可能会阻碍项目进程。因此，这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持