组织实施信息安全管理体系认证，就是根据信息安全管理标准ISO/IEC 27001:2005，建立完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式，用最低的成本，保证组织更好的符合信息安全相关的法律法规，加强公司治理，将组织的信息安全风险降低到可接受的水平，从根本上保证业务的连续性。

信息安全管理体系认证基于自愿的原则，对该体系进行认证可以树立组织信息安全形象，为客户、合作者提供安全信任感，有利于组织业务活动的开展，特别是当信息安全构成组织所提供产品或服务的一个质量特性时，如金融、电信、信息系统提供商等服务组织，开展ISO 27001体系认证对外具有很强的保证作用。

组织寻求信息安全管理体系认证的目的一般包括以下几方面：

□  获得最佳的信息安全运行方式；

□ 保证业务安全；

□  降低风险、避免损失；

□ 保持核心竞争优势；

□  提高业务活动中的信誉；

□  增加竞争能力；

□  满足客户的要求；

□ 保证可持续发展；

□  符合法律法规的要求。