IT治理和信息

近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面，企业越来越依赖IT系统来处理和储存各种信息，以保证业务正常运营，由此IT系统在企业治理中的作用越来越明晰，IT治理也逐渐被大多数企业认可，成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息保护包括确保信息的可用性、机密性和完整性这是其他IT治理环节实施的前提。

与此同时，和信息相关的国际标准已经出台，成为标准IT治理框架中的一大基石。

信息和法律法规

业内人士对ISO27001认证趋之若鹜，这其中有两个关键性的驱动因素：一是日益严峻的信息威胁，二是不断增长的信息保护相关法规的需求。

本质上说，信息威胁是全球化的。一般来说，它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是，其他各种形式的危险也在整日威胁数据，包括从外部攻击行为到内部破坏、偷盗等一系列危险。

过去的十年内，围绕信息和数据问题建立起来的法律法规体系从无到有、不断壮大，其中包括专门针对个人数据保护问题的，也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息管理体系应当可以提供实践部署指导。目前，建立这样的管理体系逐渐成为诸多合规项目的必要条件，与此同时，针对该管理体系的认证逐渐成为各种组织（包括政府部门）的热门需求，这份认证可以为他们带来重要的潜在商业合同。

认证与遵从

一个组织可以仅遵从ISO17799来建立和发展ISMS（信息管理体系），因为实践指南中的内容是普遍适用的。然而，由于ISO17799并非基于认证框架，它不具备关于通过认证所必需的信息管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲，这就表明一个正在独立运用ISO17799的机构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS体系也符合实践指南的要求，于是，这一组织就可以获得外界的认同，即获得认证。

欢迎来电与我们一起沟通探讨！

联系人：张女士