ISO27001（BS7799/ISO17799）國(guó)際標(biāo)準(zhǔn)究竟是什么？它如何幫助一個(gè)組織更加有效地管理信息？BS7799/ISO27001和ISO9001之間有什么聯(lián)系？初次涉獵信息管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容，以便組織發(fā)起信息管理項(xiàng)目？如何獲得BS7799國(guó)際標(biāo)準(zhǔn)認(rèn)證？

IT治理和信息

近年來(lái)企業(yè)高層對(duì)內(nèi)部治理需求越來(lái)越實(shí)際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面，企業(yè)越來(lái)越依賴IT系統(tǒng)來(lái)處理和儲(chǔ)存各種信息，以保證業(yè)務(wù)正常運(yùn)營(yíng)，由此IT系統(tǒng)在企業(yè)治理中的作z用越來(lái)越明晰，IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可，成為董事會(huì)和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息保護(hù)——包括確保信息的可用性、機(jī)密性和完整性——這是其他IT治理環(huán)節(jié)實(shí)施的前提。

與此同時(shí)，和信息相關(guān)的國(guó)際標(biāo)準(zhǔn)已經(jīng)出臺(tái)，成為標(biāo)準(zhǔn)IT治理框架中的一大基石。

信息和法律法規(guī)

業(yè)內(nèi)人士對(duì)ISO27001認(rèn)證趨之若鶩，這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素：一是日益嚴(yán)峻的信息威脅，二是不斷增長(zhǎng)的信息保護(hù)相關(guān)法規(guī)的需求。

本質(zhì)上說(shuō)，信息威脅是全球化的。一般來(lái)說(shuō)，它將毫無(wú)差別地輻射到每一個(gè)擁有、使用電子信息的機(jī)構(gòu)和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴(yán)重的問(wèn)題是，其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)。

過(guò)去的十年內(nèi)，圍繞信息和數(shù)據(jù)問(wèn)題建立起來(lái)的法律法規(guī)體系從無(wú)到有、不斷壯大，其中包括專(zhuān)門(mén)針對(duì)個(gè)人數(shù)據(jù)保護(hù)問(wèn)題的，也有針對(duì)企業(yè)財(cái)政、運(yùn)營(yíng)和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問(wèn)題的。一套正式規(guī)范的信息管理體系應(yīng)當(dāng)可以提供實(shí)踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件，與此同時(shí)，針對(duì)該管理體系的認(rèn)證逐漸成為各種組織（包括政府部門(mén)）的熱門(mén)需求，這份認(rèn)證可以為他們帶來(lái)重要的潛在商業(yè)合同。