資訊安全管理系統，又稱為ISMS或ISO 27001:2013，在台灣政府大力推行下已經過10幾年了，大部分的政府單位均依據相關命令順利導入資訊安全管理系統，並取得第三方驗證。但拿到了這一張漂亮的證書代表的意義是什麼！

為什麼經過了這10多年的推行，資訊安全事件仍然持續發生。在探討這一個問題前，我們先說明下列二件事。

1. 在資訊安全的框架下來說，資訊安全本來就沒有100%，我們只能將資訊安全盡可能做到可以接受的程度，舉個簡單的例子來說，生病看醫生，看完後就保證不會再生病嗎？當然不是，未來生病的機會仍然是存在的，我們只能盡可能將健康顧好，降低生病的機會。

2. 在資訊安全管理的概念來看，資訊安全管理系統是在管理資訊安全可能的風險，而風險不可能不存在，也就是說不管用何種方法進行資訊安全風險管控都不可能將風險降到零。

不論是1還是2，歸納起來不難理解資訊安全不可做到100分，資訊安全管理系統強調的是資訊安全風險管理，透過好的風險評估機制盤點出組織中可能存在的資訊安全風險，再透過資訊安全風險控管將資訊安全風險降低到可以接受的程度。

所以說，資訊安全管理是將資安風險管控在可以接受的程度內並非消禰。因此資安事件的確有可能持續發生，但是透過資安事件的分析發現資安風險存在的原因，並針對風險進行管控。

歸納來說，資訊安全管理系統的導入及證書的取得謹代表著該組織的資訊安全風險管理是有效的。並不是說有了這一張證書就代表著組織的資訊安全是100分的。