ISO27001认证可以抵御分为外部网络和内部网络的攻击。外部网络：各种互联网违法犯罪、病毒传播、重要信息泄露、网络不良行为、黑客恶意攻击、垃圾邮件等；内部网络：各种非法网站浏览、在线游戏 、P2P下载、聊天工具泛滥、内部、内部信息泄露、员工上网行为无法有效管理等ITO/BPO以及系统集成服务供应商在运营过程中，由于内部管理和物理环境管理不到位，相关信息资产的丢失和破坏失控。

ISO27001认证为客户提供以下解决方案：

1、 ISO建立27001认证管理体系，确保管理体系在软件开发过程中有一套标准化的体系作为有效的运行体系。如建立信息风险识别、评估、确定控制计划、实施有效安全组织职责、媒体处理、外部访问、防止恶意和移动代码、符合性评估等有效管理体系。

2、 ISO27001认证的IT建立服务管理系统，确保管理系统中有一套标准化的系统作为软件开发过程的有效运行系统。例如，建立有效的管理系统，如信息交换过程和远程访问。

3.通过制定风险评估和相关对策，降低病毒防护系统和漏洞扫描等风险。

4.通过建立包括灾难恢复在内的完整业务连续性计划，降低业务风险，提供企业形象。

组织按照ISO建立27001标准的信息安全管理体系将有一定的投资，但如果能够通过认证机构的审查和认证，将获得有价值的回报。

“信息”作为一种重要的商业资产，其所拥有的价值对于一个组织而言毋庸置疑，重要性也是与日俱增。信息安全，按照国际标准化组织提出的ISO/IEC 27000中的概念，需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲，就是要保护信息免受来自各方面的威胁，从而确保一个组织或机构可持续发展。

企业面临的问题

组织对于信息系统依赖性不断增长，以及在信息系统上运作业务的风险，使得信息安全越来越得到重视。

然而事实上，目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储，再到智能手机、PDA，以及无线网络等，安全问题出现的途径也是千奇百怪。每一项新技术，每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时，遭受的攻击次数也日益增多。

正因为如此，信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要，该标准经过十多年的发展，已经形成了一个完整规范的体系。对组织而言，建立信息安全管理体系，是一个非常系统的过程，从资产评估、风险分析、引入控制到后期的改进，呈现出一个非常逻辑的架构。

调查显示，企业高管普遍面对的问题是：“我们很清楚的知道内部的安全风险问题，可是我们不知道怎么去识别并规避风险。”

信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。

信息安全管理体系标准

2005年改版后的ISO/IEC 27001共有133个控制点，39个控制措施，11个控制域。其中11个控制域包括：

1)安全策略

2)信息安全的组织

3)资产管理

4)人力资源安全

5)物理和环境安全

6)通信和操作管理

7)访问控制

8)系统采集、开发和维护

9)信息安全事故管理

10)业务连续性管理

11)符合性

可见，信息安全不仅仅是个技术问题，而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施，还需要借助于技术以外的其它手段，如规范安全标准和进行信息安全管理。

因此，组织在选择合作伙伴的时候，就该找那种理解需求、真正能帮助解决问题的，只有那种有着多年的咨询和项目经验、丰富的服务和产品的公司，才够格成为可信任的伙伴。

解决方案

参照ISO/IEC 27001，总结出了完整的信息安全模型。依据模型，组织可以得到一个细致的流程，再也不用摸黑走路。

通过咨询，为客户提供高端的信息安全咨询与评估服务，识别出信息资产以及存在的风险，找出所存在的问题和深层次的需求，以便明确后续应采取什么行动去解决问题。

可以采用相关安全产品，能保护组织的任意区域，如移动用户、远程分支、内部网络、很难管理的桌面和服务器、个人的行为状况等。具有完善的功能模块，有防火墙、VPN、IPS/IDS、内容过滤、网络行为管理等。利用这些功能模块，组织能全局有效地管理安全，并跨系统、平台和区域实施一致的策略。

委托运营，针对一些自我管理和技术能力不强的组织，委托运营是其最佳选择。组织不再被具体的细节拖入泥沼中，只需提出问题和希望的结果，所有的中间过程都由委托承担者完成。

后续服务，安全管理的实现肯定是个长期的过程，那种完成项目就开溜的做法，对组织来说是种灾难。只有通过后续的服务，不断地改进，不断地发现新问题，才能推动目标不断地前进。

总之，我们欣喜的看到，国内组织通过积极努力，探索寻求整体解决方案，增强了组织主动管理其信息安全的能力，降低组织信息所面临的风险。

结语

建立信息安全管理体系并获得认证，能提高组织自身的安全管理水平，将组织的安全风险控制在可接受的范围内，减少因安全事件带来的破坏和损失。更重要的，是可以保证组织业务的持续性。

另一方面，合作在如今的商业社会是非常普遍。如果组织能向客户及利益相关方展示对信息安全的承诺，不但能增强合作伙伴、投资方的信心，也可以向政府及行业主管部门证明对相关法律法规的符合，并能得到国际上的认可。