经理A面对客户时，客户会问：“你如何保障我的信息在你们公司是安全的？你如何保证我公司的信息不会透露给第三方？”

    经理B为此客户解决了所有问题，双方的合作仅差一步时，项目经理却遇到这样的问题：“下个月就需要交付了，本来工期就比较紧，该死的病毒将我上周的数据资料全删掉了，我该怎么办？

    经理C很无奈地说：“又一个骨干员工离职了，多少公司的信息又会被传播出去呀。”

    这是一个软件公司的无奈。在很多企业中，这类问题也是屡见不鲜的，护航也曾经是其中的一家。俗话说“三分技术七分管理”，目前企业普遍采用现代化通信、计算机、网络技术来构建组织的信息系统。但大多数企业对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、缺乏完整的信息安全管理制度、相应的管理措施不到位。导致了许多信息安全事件的发生：系统瘫痪、病毒感染、甚至客户资料的流失，以及公司内部资料的泄漏等等。这些给企业的经营管理、生存及安全都带来了严重的影响。

    企业信息化给企业能够带来高效的工作，持久的竞争力，但同时也带来了更多的风险。为了化解这种风险可能造成的恶劣结果，信息安全的重要性得到了越来越多企业管理者们的认可。早期时候，人们把信息安全的希望寄托在技术层面，认为什么安全问题都可以通过技术控制和解决。然而，企业在采购大量安全设备，采用大量的安全技术之后，仍然不能走出信息安全问题的阴影。

    实际上，对安全技术和产品的选择运用，只是实现安全需求的手段而已。信息安全更广泛的内容，还包括制定完备的安全策略，通过风险评估来确定需求，根据需求选择安全技术和产品，并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。Gartner曾经在一份安全报告中指出：“各类令企业损失惨重的安全违规事件归根到底都是人所造成的，并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问题，但这是行不通的。”归根到底，信息安全并不是技术过程，而是管理过程。

    信息安全管理提供管理程序，技术和保证措施，是商业管理者确信商业交易的可信性，确保信息技术服务的可用性，能适当地抵抗不正当操作、蓄意攻击或者自然灾害，并从这些故障中恢复；确保拒绝没有经过授权地访问重要的机密信息。关于信息安全管理的标准和规范也没有安全技术那么众多，最有代表性的，就是ISO27001。

    ISO27001 标准是由英国标准协会（British Standards Institution, BSI ）针对信息安全管理方面而制定的，最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织发布为正式的国际标准，用于组织的信息安全管理体系的建立，保障组织的信息安全，采用相关指定方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。是目前世界上唯一的信息安全管理标准，已被全球五千多家政府机构和知名企业所采用。如今是否通过ISO27001 在IT行业中，已经成为一些客户的要求条件之一。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。这套标准注重体系的完整性，强调对法律法规的符合性，并且可与ISO9000 标准有很强的兼容性。

    护航于2007年1月首次通过了ISO27001体系认证，并于2009年3月通过了复审。通过对ISO27001体系的建设和实施，护航科技已经建立了完备的信息安全管理体系和组织保障体系，具备了信息安全风险方面的驾驭能力。在ISO27001体系保障下，护航科技的核心业务可持续运行得到保障，各项与安全相关活动有了明确的目标和操作指南。随着护航科技对ISO27001 体系得深入理解，将ISO27001体系在业务流程中的成功引入，使现有的业务运作更加安全规范，全面提升了公司自身和客户信息资产的安全度，进一步加强了对客户知识产权和商业秘密的保护，提高了对客户信息安全的保障水平。此外，护航科技通过此次ISO27001 标准认证年审，进一步强化了员工的信息安全意识，规范了组织信息安全行为，在信息系统受到侵袭时，仍然可以确保业务持续开展并将损失降到最低程度。