很多企業(yè)是基于以下原因或要求來實施ISO27001信息安全管理體系的：

1、客戶要求：

絕大部分跨國公司或大型企業(yè)為了專注于核心業(yè)務，會將其部分不占優(yōu)勢的商業(yè)流程外包給專業(yè)公司來做（或自己成立獨立于核心業(yè)務的專業(yè)公司來做，屬于內部供方的概念，業(yè)務、財務等獨立核算），其首先關心的是質量和成本，然后就是外包方（供方）如何保證其信息和信息資產的安全，會明示或隱含要求其外包方建立和實施信息安全管理體系，甚至通過第三方的認證，目前這仍然是企業(yè)通過ISO27001第三方認證的主要原因。

2、監(jiān)管要求：

很多企業(yè)由于是上市公司或準備上市，各國上市監(jiān)管機構都有內控及合規(guī)性的要求，信息安全是內控的主要要求之一，尤其是美國、日本和歐洲，雖然沒有明確要求通過ISO27001的第三方認證，但是作為上市機構的相關組織通過第三方的認證更有說服力。

3、企業(yè)自身要求：

1）保護企業(yè)的知識產權、商標、商業(yè)流程、競爭優(yōu)勢；

2）維護企業(yè)的聲譽、品牌和客戶信任；

3）減少可能潛在的風險隱患，減少信息系統(tǒng)故障、人員流失帶來的經濟損失；

4）強化員工的信息安全意識，規(guī)范組織信息安全行為；

5）在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；

6）業(yè)務連續(xù)性（BCM）的要求。