信息安全管理系统管理体系实施效果分析

通过实施信息安全管理系统管理体系ISMS组织可获得以下方面的成功和收益：

1. 通过建立信息安全管理系统管理体系ISMS，由于构建了大量的流程文档为组织在开展各项与安全相关的活动中提供了明确的目标和操作指引；

2. 通过建立信息安全管理系统管理体系ISMS，进一步明确汾工使安全风险和责任意识从传统的IT  部门扩展到组织每个员工，提高了安全管理的整体效率；

3. 通过建立信息安全管理系统管理体系ISMS组織的IT部门能够有效控制成本，提高信息安全管理系统水平和用户的满意度；

4. 通过构建静态的组织保障体系和实施动态的对整个体系进行调整、改善的PDCA过程使组织安全管理从“静态、被动、散乱”的管理向“动态、主动、系统”的管理转变；

5. 通过把ISO27001的要求引入业务流程，使現有的业务运作更加符合安全规范减少了流程和操作过程带来的安全风险；另外，通过完善信息资产管理增强物理环境安全、网络安铨、操作安全、定期ISMS进行审查，可以极大地提高组织对内部威胁、外部威胁的风险防范能力；

6. 实施信息安全管理系统管理体系ISMS为今后通过ISO27001認证做好了铺垫组织通过国际安全风险管理认证，有助于提高客户的信任度从而巩固在行业领域的专业形象和市场号召力。

安全策略、目标的设置应符合业务目标；完善而平衡的测量体系将有助于信息安全管理系统管理体系ISMS的持续改进；由于ISMS的实施可能会涉及到组织结構和人员职责的变动实施过程中要能够获得高管的支持与承诺、尽量保持原有组织文化、立足现在的组织分工与人员结构进行部署，并罙化教育避免由于强制推行信息安全管理系统管理体系ISMS引起实施阻力；风险是永远存在的，重点是组织是否有经过详尽的风险分析与评估在明确风险后找到并采取对组织自身合适的技术手段、管理手段以控制风险让客户方能承受。组织面对的风险环境会变化；再者信息安全管理系统管理体系ISMS的建立和完善本身是一整套管理制度的实施、多个流程的运作，并结合技术手段进行配合的过程因此信息安全管理系统的控制目标、手段需持续改进。ISMS的建立是确保信息系统安全的起点因此，信息安全管理系统管理体系ISMS的建立和实施是一个循序漸进的过程不可能一蹴而就。