1.1 什么是ISMS认证

所谓认证，即由可以充分信任的第三方认证机构依据特定的审核准则，按照规定的程序和方法对受审核方实施审核，以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。

针对ISO/IEC 27001的受认可的认证，是对组织ISMS符合ISO/IEC 27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合ISO/IEC 27001标准的要求。通过认证的组织，将会被注册登记。

1.2 为什么要进行ISMS认证

根据CSI/FBI的Computer Crime and Security Survey2005中的统计， 65%的组织至少发生了一次信息安全事故，而在这份报告中同时表明有97%的组织部署了防火墙，96%组织部署了杀毒软件。可见，我们的信息安全手段并不奏效，信息安全现状不容乐观。

实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。

1) 预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：

l 重要的商业秘密信息的泄漏、丢失、篡改和不可用；

l 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；

2) 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：

l 依据信息资产的风险级别，安排安全控制措施的投资优先级；

l 对于可接受的信息资产的风险，不投资安全控制；

3) 保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；

增强客户、合作伙伴等相关方的信任和信心。