繼上次提到ISO27000系列的簡短介紹，以及ISO27001主要內文項目，但是為甚麼要導入這項國際組織標準? 是這次文章闡述的主旨。

ISO27001身為資訊安全管理系統(ISMS)最流行的認證標準，不儘可以協助使用者(企業)保護資訊的機密性(Confientiality)、完整性(Integrity)及可用性(Availability)，也可以因著這些標準流程的建立而得到其他好處。但是哪些好處是執行此套標準可以使用的呢? 正所謂殺頭的生意有人做，賠錢的生意沒人做，任何企業決策不會帶來商業利益、不會替公司賺錢，是絕對推動不了得(p.s. 不賺錢、又沒有投資效益的，就算推動了也只是曇花一現)。因此，筆者嘗試歸納執行此認證的好處分成開源節流兩部分。

節流 - 降低營運成本:

提升管理效率 - 由於ISO27001內部對於資訊安全的權責與定義提出許多規範，想獲得認證的組織勢必得釐清內部的資安專責人員與團隊，在資訊安全風險評估、處置與檢討改進上才能符合標準。如此一來通過標準的架構，也可以將先前無效的作業程序或是不必要的步驟刪去或改良，進而降低資訊安全被侵害的風險。

符合政府規範 - 既然資訊屬於有價值的資產，各國政府也陸續針對資訊安全做出最低限制的法律規定，而國際標準的資訊安全準則自然是超出最低限制。如此可以避免資訊安全出現漏洞時，造成的罰鍰、罰金，甚至是賠償金額費用。

開源 - 提升客源:

客戶信任度 - 光是國際標準這四個字就夠當招牌了，直接企業規模加三級的感覺。有了相對客觀與嚴謹的標準認證，客戶在選擇合作企業時自然也比較放心。講現實一點，就是哪天真的資安出事了，兩邊合作窗口都有國際標準的免死金牌可以放在口袋，當然選擇你囉。

打進國際市場 - 國際標準除了走在時尚的尖端(誤)，更提供國際間的企業有一個穩定的交流與參考基礎。畢竟各國的法律多少會有些出入，但是循著國際標準的使用，如同ISO的精神一樣(isos)，大家都是平等的，更可提供國際企業看見自己的機會。