为什么要进行ISMS认证西安GOTS认证标准

为什么要进行ISMS认证
根据CSI/FBI的Computer Crime and Security Survey2005中的统计， 65%的组织至少发生了一次信息安全事故，而在这份报告中同时表明有97%的组织部署了防火墙，96%组织部署了杀毒软件。可见，我们的信息安全手段并不奏效，信息安全现状不容乐观。
实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。
1) 预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：
l 重要的商业秘密信息的泄漏、丢失、篡改和不可用；
l 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；
2) 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：
l 依据信息资产的风险级别，安排安全控制措施的投资优先级；
l 对于可接受的信息资产的风险，不投资安全控制；
3) 保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，大限度的增加投资回报和商业机会；
增强客户、合作伙伴等相关方的信任和信心。

1.1 ISMS认证适合何种类型的组织
ISO/IEC 27001:2005中明确指出，标准中规定的要求是通用的，适用于所有的组织，无论其类型、规模和业务性质怎样。
 ISO/IEC 27001:2005可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据，无论是自我评估还是独立第三方认证。
就目前国内发展来看，先确定实施ISMS 并考虑接受ISO/IEC 27001:2005认证的组织，其驱动力都比较明显，这种驱动力可以是外部的，也可以是发自内部的。这些组织主要集中在以下几个行业：
u 半导体行业：尤其是主业为集成电路芯片制造的组织。由于国内近几年IC 产业发展迅猛，大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业，鉴于IP（知识产权）保护的重要性，来自国外客户的明确要求，使得国内芯片制造企业必须在信息安全管理方面做出保证，ISO/IEC 27001:2005证书就是选择。
u 软件外包行业：情况与芯片制造企业类似，近年来，承担软件定制开发的很多企业，也面临外部客户明确提出的信息保护的要求。
u 金融业和保险业：一直以来，金融和保险行业对信息安全的重视都是非常高的，保护客户信息、保证业务运转的可靠性和持续性，这都是此行业组织实施ISMS，并寻求认证的驱动力。
u 通讯行业：特别是一些大型的通信设备提供商，由于牵涉到对自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
u 电子商务行业：对于电子商务交易平台、电子商务支付平台，由于客户以及合作伙伴对交易过程的高度安全需求，导致这类组织都会在信息安全建设方面加大投入建设，全面的信息安全管理体系。
u 其他行业：只要是涉及到IP 保护、行业规范和法律法规要求、自身发展需求的，组织都会逐渐在信息安全建设上加强力度，就拿美国Sarbanes-Oxley 法案（萨班斯法案，简称SOX 法案）来说，由于对在SEC 注册的上市公司提出了内部控制审核的要求，相关组织必然会在信息安全方面投入关注，因为信息安全控制是企业内部控制必不可少的一个部分。