ISO27001（BS7799/ISO17799）國際標(biāo)準(zhǔn)究竟是什么？它如何幫助一個組織更加有效地管理信息？BS7799/ISO27001和ISO9001之間有什么聯(lián)系？初次涉獵信息管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容，以便組織發(fā)起信息管理項目？如何獲得BS7799國際標(biāo)準(zhǔn)認證？

IT治理和信息

近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務(wù)正常運營，由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認可，成為董事會和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環(huán)節(jié)實施的前提。

與此同時，和信息相關(guān)的國際標(biāo)準(zhǔn)已經(jīng)出臺，成為標(biāo)準(zhǔn)IT治理框架中的一大基石。

信息和法律法規(guī)

業(yè)內(nèi)人士對ISO27001認證趨之若鶩，這其中有兩個關(guān)鍵性的驅(qū)動因素：一是日益嚴峻的信息威脅，二是不斷增長的信息保護相關(guān)法規(guī)的需求。

本質(zhì)上說，信息威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構(gòu)和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。

過去的十年內(nèi)，圍繞信息和數(shù)據(jù)問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護問題的，也有針對企業(yè)財政、運營和風(fēng)險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息管理體系應(yīng)當(dāng)可以提供實踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業(yè)合同。