在当今的全球商业环境中，信息的重要性被广泛接受，信息系统在各类组织中得到了广泛的应用。许多组织对其信息安全系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使IT治理成为公司治理越来越关键的一部分。最高管理层（董事会）和执行管理层需要确保IT适应企业战略，同时企业战略也恰当利用IT优势。

    现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方，其中一些甚至连系统的设计者、实现者和使用者都不知道。因此，不安全因素总是存在。没有一个系统是完美的，没有一项技术是灵丹妙药。

    针对安全系统的攻击越来越普遍。早在1996年，美国会计总署（GAO）报告指出，美国国防部一年有15000个系统遭到高达250000次攻击，其中65%攻击成功，防范和弥补损失的费用高达数亿美元。更值得注意的是，这些攻击中只有400个被查明，20个被报告。如果说1996年受到的攻击很大程度上是一种系统的弱点，那么今天，它已成为一种威胁，正如美国联邦调查局对100个针对电子商务网站的敲诈案件调查表明，攻击者不仅威胁公开客户信息，并且实际上在要求得不到满足时实现这种威胁。

    目前业界普遍认为，信息安全是政府和企业必须携手面对的问题。政府和企业管理执行层有责任确保为所有使用者提供一个安全的信息系统环境，而且，政府部门和企业认识到安全的信息系统好处的同时，应该自我保护以避免信息系统的固有风险。

    2003年我国连续不断地出现不同程度的信息系统安全事故，这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。如果说经济损失还能弥补，那么，由于信息网络的脆弱性而引起的公众对网络社会的诚信危机则不是短时期内可以恢复的。 

    企业面临同样的境遇，当企业的业务依赖于信息系统时，安全事故将导致企业业务的中断，这种中断不仅会带来经济损失，同时也会使企业的客户甚至是整个社会对企业的信任产生危机。日本证券公司的信息系统，曾因为一个打印终端缺纸，造成整个系统中断20分钟，带来8亿美金的业务损失。

    我国政府主管部门以及各行业已经认识到了信息安全的重要性。2004年1月9日至10日，全国信息安全保障工作会议在北京召开。会议指出，必须充分认识做好信息安全保障工作的极端重要性，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化健康发展。

    政府和各行各业对信息安全的重要性有了认识，国际标准ISO27001：2005信息安全技术和信息安全管理标准出台，而且成为ISO标准中全世界销量最大的产品。企业建立信息安全管理体系势在必行。