国内从1999年，厦门人保获得第一张ISMS认证证书至今，通过该项认证的企业为180多家，包括华为、中兴、深交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东公司)、中国网通(天津、北京公司)、中国电信(上海、北京、广东公司)等企业，主要集中在电信、金融、软件外包开发等行业。与目前国际通过该项认证的企业数量5200家相比，中国通过认证的企业数量并不多，但国内按照或参考ISO27001或ISO27002国际标准，建立健全本企业信息安全管理体系的企业却越来越多，一直以来，在实施信息安全管理体系的实践过程中，无论是企业的管理层人员还是具体实施人员，无论是通过认证企业还是未认证企业，对ISMS实施过程都不同程度的存在着一些困惑和误区。

　　困惑一：想仅仅通过技术和产品，就解决所有的(或主要的)安全问题。很多企业，甚至大型知名企业，上了很多技术和产品，有的企业甚至也建立了很多安全管理制度，甚至做了信息安全管理体系并通过了认证，投入了很多财力人力，但整体信息安全管理水平并没有明显提升，信息安全问题还是层出不穷。根源在于这些企业都存在着一个普遍的问题：相关的管理跟不上，如设备上线了，运行很久了，还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决，即使有再好的产品、技术或标准，企业的信息安全管理水平也很难从根本上有所提高，上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。在信息安全方面，一定要重视“三分管理，七分技术”这一原则，要向管理要安全。技术只是帮助实现管理的手段，就IS02700l而言，它的l1个控制区域中，只有3个区域是完全和技术相关，其它8个都是要求如何进行信息安全管理，比如物理安全、人力资源安全、业务连续性管理这些都无法纯粹依靠技术来实现，更多的是要靠管理来实现。

　　困惑二：信息安全与工作效率的关系，做信息安全会不会影响工作效率。业务部门表面上都支持，但实际工作中并不配合。这是很多企业信息安全管理体系推行过程中，具体实施人员最常见的体会和抱怨。业务部门的支持是一个永远的问题。导致这个问题的原因很多，“工作很忙”，“出差刚回来，还要出去，根本没时间看那些什么安全策略”，“不要不相信我，我不会泄密”、“我们工作本来就很忙，拜托别再给我们增加工作了”等等。真的没有时间吗?明显不是，真正的原因是“业务才是最重要的，其它都是次要的”、“我干的这几年，运气不会这么差吧”，对安全风险的严重性认识不足，心存佼幸心理，不仅一般员工如此，有的管理层人员乃至核心管理层人员都不同程度有如此想法。

　　首先，信息安全负责人员在具体实施过程中，也要考虑统筹安排时间，毕竟企业是以赢利为目的的，业务是很重要的，在具体工作安排上，在不影响工作绩效的前提下，要尽可能以节约业务部门人员的时间的方式进行，比如安全意识的宣传，不要只是课堂培训一种方式，内部网站、经常性的提示性邮件、宣传小册子、打印机复印机旁的小贴士、台历上的安全小故事都是不错的选择，信息安全宣传方法要灵活，你理解业务部门，业务部门也会欢迎，也会理解你的工作。

　　其次，落实具体控制措施的好处，要向业务部门讲透。向业务部门推行的很多安全控制措施，如果能够得到良好的落实，对业务部门也是有好处的，有助于降低业务部门及相关人员的风险，业务部门不配合很大程度上是因为他们自己还没有看到这一层，我们的实施人员也没有向业务部门人员点透这一层。大部分情况，在业务部门人员明白这一层后，都会积极配合，也会接受因为控制措施实施导致的工作效率暂时性所受到的影响。

　　再次，单就实施具体的安全产品(如终端控制软件、使用CA证书)而言，在实施初期，由于业务部门人员操作不熟悉，会在一定程度上影响工作效率，但一旦人员操作熟练后，就不存在这个问题了，而且由于安全控制的提高，会降低业务部门的安全风险，减少业务部门人员用于终端或系统故障的时间，提高业务部门的工作效率。

　　困惑三：安全管理是一阵风，风吹时很猛，但吹过了，也就完了，如何长久保持。其实信息安全管理，特别是信息安全管理体系，要保持信息安全管理体系能够有效长久运行，最重要的是在企业中建立以下三个机制：持续改进机制、信息安全奖惩机制和内部信息安全审计机制。

　　要在企业文化中不断渗透持续改进的思想和意识，设置配置需要及时更新、安全制度和策略需要及时评审，缺少持续改善机制和文化企业的信息安全管理，无法逃脱“搞运动”的宿命-体系建立时，人人热血沸腾，文档制度一大堆，大家都认真执行，但过了几个月就基本上束之高阁，一切又回到旧轨道上。

　　“推行管理体系本身就是一件很有难度的事情，再加上奖惩，更不好做了，奖好办，但惩时，该罚谁呢，罚谁谁都会不高兴，会影响到同事关系，信息安全就是得罪人的事，没人愿意做，不好做”，具体实施人员经常有这样的抱怨。其实这个问题很容易解决，第一，明确和高层领导讲，如果想安全管理能够长久化、持续化，必须要有配套的奖惩(不能只奖不罚或只罚不奖);第二，奖惩的问题本来就不应该是信息安全实施人员的职责，是人力资源部门的事情，不建议信息安全实施人员不要借机“夺权”，在本职工作外，做自己原本不擅长的工作，信息安全实施人员要做的就是把控制措施执行情况的数据交给人力资源部门(很多是和技术相关的，需要实施人员提供)。

　　定期的信息安全内部审计机制非常重要，只有进行检查(CHECK)，并对检查中发现的问题进行的整改(ACTION)，整个信息安全管理体系才会形成完整的PDCA循环，形成一个闭环。如果因内部人员能力限制，也可以将内部安全审计外包给有资质的安全公司或会计师事务所进行。没有检查机制的安全管理是不可能有绩效的。

　　困惑四：只是下面的人在忙，老板只是口头上重视。这种现象在一些企业中很明显的存在，结果是具体实施人员也想了很多办法，费了很多力气，但实施效果并不理想。造成这种现象的原因就是缺乏高层真正的支持，包括财务、人力的投入，安全是自上而下的过程，自下而上的进行很难成功，信息安全管理体系的推行需要企业最高管理层的绝对支持和身为表率并持之以恒，最高管理层可能没有时间去一一详细了解每一项安全策略的内容，没有时间去参与具体的每一项实施工作，实践中这也是不可能的也不必要的，但最高管理层必须要很清楚他们的相关言行必须与企业信息安全的终级要求相一致，如果相背离，极有可能会事倍功半、事与愿违。在一个高层管理层人员都为贪图便利在使用弱口令的企业，却建立起一套良好的信息安全管理机制是不可想象的。

　　困惑五：忘记安全是一个动态的过程。“信息安全花了这么多钱，为什么还出事”，在企业中，特别是发生重大的信息安全事件后，不时会听到这种声音。出现这种声音，有两种可能，一种是安全没有落实到位，安全最重要的是落实，空中楼阁式的安全管理只是美丽的肥皂泡，结局只能是又获得一次惨痛的教训。在实践中，还有另外一种情况，企业执行力也不错，各项措施也有落实，但还是出现问题了。这时出现这种声音，问题在于持这种说法的人，问题出在他的思维方式上。风险是一个动态的过程，信息安全也是一个动态的过程，产品技术标准不断发展和完善，信息安全威胁也是不断地升级换代，随着企业信息化程度的进一步加深，企业核心业务对IT依赖度的进一步加强，信息安全问题会相对越来越多，这是一个不可扭转的趋势和现实。现实的情况是上这些设备，建了这个体系，会减少很多安全问题和风险，但不能完全避免，如果不上这些设备和体系，问题只会更多。这一点是信息安全管理部门和人员最希望得到管理层和业务部门理解的一点。

　　100%的安全是没有的，也是不可能的，即使是与要时刻核算成本的企业相比，可以“不计成本”投入的安全部门和军队，也做不到100%的安全，美国的CIA、FBI和国防部不也不上一次发生过网页被改，重要机密被泄露的事件吗?美国SP800标准中不也是把“绝对安全”改为“相对安全”了吗?

　　信息安全事件的发生具有一定的必然性，也有偶然性，不能单凭信息安全事件的影响程度和发生与否作为考虑安全管理人员绩效考核的唯一标准。对于管理层而言，重要的是考虑在信息安全方面的投入和风险接受级别间找到一个平衡点

　　困惑六：其它企业的成功的经验，为什么在我们这里却不行。信息安全管理实施模式切忌生抄照搬，一定要结合自己企业的企业文化和实际情况进行。在执行力强的企业中，很多控制措施可以一步到位，但在执行力稍差的企业中，就是考虑是不是要分步实施;在对大型企业或金融行业，每年有固定的IT预算，IT投入较充裕，一些安全控制手段可能考虑通过技术实现，但在一些小型企业或IT投入较小的企业，就要考虑通过管理实现。除此之外，还要考虑企业文化的其它方面，如企业的不同性质、企业领导人的不同风格、企业内部沟通机制、信息安全主导部门和人员在企业中的地位诸多等因素。

　　另外，在信息安全管理过程中需要以人为本，尊重人性。在企业的信息安全管理中，除了产品和技术外，人员的因素非常重要，人员的无意泄密还可以通过培训提高安全意识来改善;可以通过邮件审计、打印复印控制、USB控制、硬盘或文件加密等方法，减少泄密的渠道;但对人脑记忆的信息的传播是无法通过技术来控制的，至少目前的技术手段是实现不了的。而且技术手段实现的诸多的监控，更多是为安全事件的留下证据，与之相比，事前预防是最重要的，加强事前预防的最可行和有效的手段就是从管理方面通过包括人性化管理、信息安全奖惩等方法综合运用不断增强员工对企业的认同感、归宿感和忠诚度。

      SAP财务系统总账的三套会计科目表并存，为跨国公司属地化核算和集团化管理并行提供了可能
　　
　　在SAP财务系统中存在三大类会计科目表：运营会计科目表、集团会计科目表和国家会计科目表。其中运营会计科目表是记账必须的会计科目表，集团会计科目表是集团出具合并会计报表使用的会计科目表，国家会计科目表是为了满足某国要求，出具的符合该国会计准则要求的科目表。
　　
　　三套科目表的设置为一个经营实体按照不同的会计科目系统出具报告提供了可能，换句话说也就是每个公司都可以分别按照三套科目表出具财务报告，这种功能的设置为集团公司，特别是跨国集团公司提供了集团化管理和属地化管理并重的可能性。
　　
　　SAP财务系统对集团公司的会计科目表设计通常给出两种建议方案：
　　方案1：全集团统一使用一套会计科目表：不论是控股公司还是下级单位都共享一套完整的会计科目表，各家公司在完整的会计科目表里选择自己需要的会计科目，从而生成每个公司代码的个性化的会计科目表。
　　方案2：用分行业的会计科目表：如一个大型企业，同时经营多种行业，如果共用一套会计科目表，其中的科目数量将是庞大的，且覆盖了各种各样的行业特殊的科目。所以可以采用相同的行业共用一个会计科目表，这些分行业的会计科目表又能分配给同一个合并会计科目表，这个合并科目表中的科目与分行业科目表中的科目具有对应的关系。通过这样的管理，既实现了分行业的会计核算，整个集团又有一个统一的核算口径。
　　
　　多重会计核算原则并行
　　
　　在SAP财务管理系统中可以容纳多重的会计核算原则，即按照不同的核算规则进行核算，并分别记录。例如对于资产的折旧，会计准则规定的会计折旧方法和税法规定的折旧方法是不同的，对于跨国公司中国的折旧方法与集团所在国的折旧方法也有可能是不同的，这就要求企业能够按照不同的折旧方法记录折旧，提供给不同的干系人。 SAP财务系统提供了强大的平行记账功能，在业务发生时能够按照各种会计处理原则平行记账，并不增加操作人员的工作量，仍然使用资产折旧的例子，在每个月末运行资产折旧的时候，资产会计只需要点击折旧执行的按钮，系统就可以根据已经设置好的多种折旧计提方法平行记账。这种平行记账的功能为会计核算环境复杂的企业提供了巨大的帮助。
　　
　　灵活的会计期间管理
　　在中国，习惯以自然年度和自然月度作为会计年度和会计期间，即1月1日到12月31日为一个会计年度，而会计期间就是12个自然月。但有些企业的经营是不适合使用自然年度的，这些企业就需要根据自己的需求来定义会计期间。在SAP财务系统中会计年度和期间是可以进行定义的，也就是说可以不使用自然年月作为会计年度和月度，而自行设置自己的会计期间变式。各公司可以共用一个会计年度变式，也可以各自用自己特殊的会计年度变式。
　　
　　多货币处理
　　为了满足不同国家对货币的法规要求，SAP支持同时使用3种货币作为记账和结算的本位币，所有的业务均能以本位币、集团公司货币以及客户自定义的硬通货记入账本。 此外，SAP财务系统还提供自动处理外币评估、信息分类的功能，为月末结算带来很大的方便。
　　

      高度集成的系统大量减少财务人员的工作量，实现数据的一次性记账
　　强大的系统集成功能是SAP产品的重要特点，SAP系统强大的系统集成性决定了SAP系统中的财务凭证绝大多数不是通过手工录入的，而是通过系统集成的方式由其他业务模块集成生成的。
　　高度集成的系统实现了一次性记账：采购原材料的收货入库、生产领料、完工产品入库、销售出库、收到的供应商发票校验、给客户开票记账，这些业务在发生时会遵循有关记账原则，按照预先设置好的会计科目，自动记入总账。固定资产的购置、折旧和处理都会在更新每个明细资产的同时更新总账，而不需要财务人员录入凭证。通过权限的管理可以使所有子公司或工厂的原始数据的来源处于总部的监控之下。高度的系统集成实现了数据的单口录入，财务数据完全来源于业务原始数据，既提高了财务数据的准确性，同时大量减少了财务人员的工作量。
　　
　　
　　清晰的账户管理模式和简易的凭证录入方法
　　未清项账管理：对于SAP凭证输入和凭证管理来说，有一个基本概念需要解释，那就是“未清项账”管理。在财务管理中，有些科目只需要有“借贷余”的管理就可以了，但是有些科目不止需要“借贷余”，还需要管理到每笔交易的状态，比如银行未达科目，客户和供应商的明细科目等。

　　信息和查询
　　SAP财务管理信息系统包括了灵活和多样的报表和功能，如账户余额显示，账户行项目显示，审计线索，资产负债表，损益表，现金流量表，试算平衡表，纳税申报表，总账信息系统等。SAP的信息系统具有一些特点，比如“钻取”的方式或称为“穿透”的方式，即可以进行多维的分析和不断深入地挖掘，直至进入原始凭证。
　　
　　除此以外，SAP还提供了简便易学的编制报表工具，用户可以自己通过报表编制工具编写各种个性化报表。