ISO/IEC 27001為國際標準機構於2005年所制定發表的資訊安全管理系統(ISMS)標準，普遍為全球國家重視並申請認證，我國在政府的強力推動下，截至2012年4月已有459個公私部門機構取得認證，數量高居世界第4名，我國經濟部標準檢驗局亦以其為藍本，於2006年制定公告了相對應的CNS 27001國家標準，顯示了我們對資訊安全管理需求的高度共識。然而，一個機構經過了專業單位的輔導、建立了文件系統與各種要求的程序、最後通過了認證單位的審核，而獲得了證書，就代表了機構從此在資訊安全防護上就有了真正的安全嗎？在下一次再度接受審核之前，機構能持續將標準所規範的條文，確實地在每一天徹底執行嗎？能即時瞭解資訊安全管理系統運作的績效嗎？這些都是看似淺顯卻又十分難以填補的執行力「管理學黑洞」的問題。