1.4　企業建立信息安全管理體系的必要性

近幾年，隨著各個行業信息化建設逐步深入，以及OA、ERP、生產管理、決策支持等信息系統相繼投入使用，企業的關鍵業務對信息系統的依賴程度越來越高，企業也逐步認識到信息安全的重要性，企業員工的安全意識也都逐步得到提高。各個行業相繼出臺了信息安全保障體系建設指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促使企業的信息安全水平得到了進一步提升。

由于企業信息安全意識不斷提高，企業不斷加大信息安全方面的投入，如建立標準化的機房、購買與部署各類信息安全軟件和設備等。但是計算機病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網絡等也隨著計算機技術的發展不斷更新，攻擊手段也越發隱蔽和多樣化。企業不僅要應對外部的攻擊，也要應對來自企業內部的信息安全威脅，安全形勢不容樂觀。企業的信息安全已不僅僅是技術問題，還需要借助管理手段來保障。企業如果不能正確樹立信息風險導向意識，只一味地注重“技術”的作用，忽略“管理”的重要性，就很難發揮信息安全技術的作用，無法把企業的各項信息安全措施落到實處，企業的信息安全也就無從談起。只有切實發揮管理作用，企業的信息安全才能得到有效保障。

企業建立信息安全管理體系可有效保護信息資源，保障信息化健康、有序、可持續發展。ISO/IEC 27001是信息安全領域的管理體系標準，類似于質量管理體系認證的ISO 9000標準。企業建立ISMS體系后，可申請通過ISO/IEC 27001的認證，表示企業在信息安全管理過程中已建立了一套科學有效的管理體系作為保障。

企業建立信息安全管理體系，可以帶來以下幾方面的好處：

（1）建立信息安全管理體系，可以提高企業與外部相關方之間的信息管理效率。

信息安全管理需要全面的綜合管理，企業在建立信息安全管理體系時，不僅要考慮企業內部環境，也要考慮外部環境，充分理解相關方的需要和期望。通過建立ISO/IEC 27001信息安全管理體系，可以增進企業與供應商、客戶及利益相關方的溝通交流，建立相互之間的信任。通過對體系建設與運行需要保留的相關記錄管理，可以提高企業與外部相關方之間的信息管理效率，以創造更大的收益。

（2）建立信息安全管理體系，可以保證企業內所有的部門實現對信息安全的承諾。

企業在建立信息安全管理體系的過程中，為保證企業信息和信息系統的安全，確定業務工作不中斷，必須制定企業的信息安全方針和信息安全總目標。為了完成信息安全總目標，企業需要在各層次建立完整的信息安全管理企業機構，確定信息安全方針、安全目標和控制措施，明確各部門信息安全的管理職責；對于各部門信息安全目標的完成情況，按照相關文件的要求，需要通過定期的內部審核、控制措施目標測量及管理評審，以評價企業信息安全目標的完成情況。這一系列控制措施和管理手段能保證各部門按要求履行所承擔的信息安全職責。

（3）建立信息安全管理體系，通過第三方認證，企業可獲得國內、國際認可機構的認證證書，通過認證可消除其他企業的不信任感。

企業通過認證能夠向政府及行業主管部門證明其遵守了相關的法律法規。而獲得國際認可機構的認證證書，即獲得國際上的承認，便于企業拓展國際業務；通過第三方認證也能增強投資者及其他利益相關方的投資信心。

總之，企業按照ISO/IEC 27001標準建立信息安全管理體系，前期會有一定的投入，但是若能通過建立信息安全管理體系，梳理企業面臨的安全問題，采取對應的安全措施，會使企業的信息安全管理能力得到很大提升。在此基礎上，可申請第三方認證機構的審核，從而獲得認證證書。信息安全管理體系認證證書可為企業向其客戶、競爭對手、供應商、員工及投資方展示其在信息安全管理方面的能力提供有力的證據。同時，定期的監督審核能夠確保企業的信息安全管理體系不斷地被監督和完善。