今晚在茶馆喝了很长时间茶，所以到现在都没法入睡。正好在这里把今天的困惑记下来，希望过几天能悟或者被点化。:)

晚上的话题是关于7799（或者ISMS）的必要性。

在信息安全领域，这是最近遇到的问题中最难的，也是最有价值的一类问题。

我今天上午总结了一些给同事看，得到了一个字的评价：“虚”。

如何才不虚呢？

7799到底能不能帮助我们解决具体的问题呢？

公司里一位在7799方面很有研究而且也实施过多个7799项目的同事说，国外的客户一般有完整、真实的统计数据，因此把实施7799前后的统计数据拿来做个对比基本上就解决了ROI分析的问题，也就能把必要性这个问题说个八九不离十。

国内的客户没有相应的统计数据，7799的必要性论证是否就只能那么“虚”呢？

以我目前对7799甚为肤浅的理解来看，7799对特定组织的必要性主要体现在如下几个方面：

信息化推动业务发展 AND 信息安全问题阻碍信息化进程 ==> 信息安全问题妨碍业务发展；

信息安全问题主要体现为信息安全风险管理问题；

目前，一般组织的信息安全风险管理存在以下几个问题：

不知道有哪些风险
不知道这些风险在哪里
不知道这些风险有多大
不知道如何处理这些风险
不知道处理这些风险要花多大代价

还可以更多……

其它必要性主要还包括两点：1、合规性的要求，ISMS与实践有助通过认证；2、竞争力的要求，ISMS的运行和7799认证有助于提升组织声誉，实际提升信息安全工作的效果与效率。