信息是商业企业的重要财富，能够认识到信息的商业价值对于组织来说极其重要。任何组织需要确保信息管理的有效性，使之产生最大的价值。ISO27001：2005是建立信息安全管理体系的一套规范，为设计和制定信息安全管理体系提供了基础。它关注公司管理的信息安全方面、有形和无形信息资产保护、合法和合乎契约的义务，以及对组织信息和通讯技术系统和商业企业运作的多方威胁。将ISO27001风险管理原理作为商业企业全面风险管理方法，能够为组织提供实施符合组织目标和商业要求的有效的信息安全管理手段。

企业建立ISMS和获取认证的意义：

u  首先可以向权威机构表明，组织遵守了所有适用的法律法规；

u  有助于提升客户信心，确定组织在同行业内的竞争优势，提升其市场地位；

u  通过强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失；

u  建立ISMS，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，提升了组织的核心竞争力；

有助于更好地了解信息系统，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。