(1)對組織內信息安全管理能夠實現：

◇能夠保護關鍵信息資產和知識產權，維持競爭優勢

◇在系統受侵襲時，確保業務持續開展并將損失降到最低程度

◇建立起信息安全審計框架，實施監督檢查

◇建立起文檔化的信息安全管理規范，實現有“法”可依，有章可循，有據可查

◇強化員工的信息安全意識，建立良好的安全作業習慣，培育組織的信息安全企業文化

◇按照風險管理的思想建立起自我持續改進和發展的信息安全管理機制，用最低的成本，達到可接受的信息安全水平，從根本上保證業務的持續性

(2)對組織外信息安全管理能夠實現：

◇能夠使各利益相關方對組織充滿信心

◇能夠幫助界定外包時雙方的信息安全責任

◇可以使組織更好地滿足客戶或其他組織的審計要求◇可以使組織更好地符合法律法規的要求

◇若通過了IS027001認證，能夠提高組織的公信度

◇可以明確要求供應商提高信息安全水平，保證數據交換中的信息安全

(3)需要清楚的認識到實施信息安全管理的關鍵成功因素包括：

◇組織的信息安全方針和活動能夠反映組織的業務目標

◇組織實施信息安全的方法和框架與組織的文化相一致

◇管理者能夠給予信息安全實質性的、可見的支持和承諾

◇管理者對信息安全需求、信息安全風險、風險評估及風險管理有深入理解

◇向全員和其他相關方提供有效的信息安全宣傳以提升信息安全意識

◇向全員和其他相關方分發并宣貫信息安全方針、策略和標準

◇管理者為信息安全建設提供足夠的資金

◇向全員提供適當的信息安全培訓和教育

◇建立有效的信息安全事件管理過程

◇建立有效的信息安全測量體系