很多企业是基于以下原因或要求来实施ISO27001信息安全管理体系的：

1、客户要求：

绝大部分跨国公司或大型企业为了专注于核心业务，会将其部分不占优势的商业流程外包给专业公司来做（或自己成立独立于核心业务的专业公司来做，属于内部供方的概念，业务、财务等独立核算），其首先关心的是质量和成本，然后就是外包方（供方）如何保证其信息和信息资产的安全，会明示或隐含要求其外包方建立和实施信息安全管理体系，甚至通过第三方的认证，目前这仍然是企业通过ISO27001第三方认证的主要原因。

2、监管要求：

很多企业由于是上市公司或准备上市，各国上市监管机构都有内控及合规性的要求，信息安全是内控的主要要求之一，尤其是美国、日本和欧洲，虽然没有明确要求通过ISO27001的第三方认证，但是作为上市机构的相关组织通过第三方的认证更有说服力。

3、企业自身要求：

1）保护企业的知识产权、商标、商业流程、竞争优势；

2）维护企业的声誉、品牌和客户信任；

3）减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；

4）强化员工的信息安全意识，规范组织信息安全行为；

5）在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

6）业务连续性（BCM）的要求。