信息安全管理是指導(dǎo)和控制信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)活動(dòng)。信息安全風(fēng)險(xiǎn)的指導(dǎo)和控制活動(dòng)通常包括制定信息安全政策、風(fēng)險(xiǎn)評(píng)估、控制目標(biāo)和方法選擇、風(fēng)險(xiǎn)控制和安全保障等。為了高效地管理組織的信息安全，動(dòng)態(tài)管理必須根據(jù)信息安全管理模型和信息安全管理標(biāo)準(zhǔn)構(gòu)建組織的信息安全管理體系。

目前，ISO27001信息安全管理系統(tǒng)(InformationSecurityManagementSystem，ISMS)還沒(méi)有明確的定義。在ISO27001中，信息安全管理系統(tǒng)可以理解為組織管理系統(tǒng)的一部分，專門用于組織的信息資產(chǎn)風(fēng)險(xiǎn)管理，以確保組織的信息安全，包括制定、實(shí)施、評(píng)估和維護(hù)信息安全政策所需的組織、目標(biāo)、職責(zé)、程序、過(guò)程和資源。信息安全管理系統(tǒng)包含許多反饋環(huán)路。這些反饋環(huán)路可以監(jiān)控和控制系統(tǒng)的安全性，從而最大限度地降低組織的殘余風(fēng)險(xiǎn)，保證組織滿足客戶和法律的要求。

一個(gè)有效的ISO27001信息安全管理系統(tǒng)具有以下功能:
1.增強(qiáng)員工的信息安全意識(shí)，規(guī)范信息安全行為。
2.全面系統(tǒng)地保護(hù)組織的關(guān)鍵信息資產(chǎn)，保持競(jìng)爭(zhēng)優(yōu)勢(shì)。
3.使組織從預(yù)防和系統(tǒng)可持續(xù)發(fā)展的角度處理事故和損失。當(dāng)信息系統(tǒng)受到攻擊時(shí)，確保業(yè)務(wù)繼續(xù)發(fā)展，損失最小化。
4.使組織的業(yè)務(wù)伙伴和客戶對(duì)組織充滿信心。
5.讓組織定期考慮新的威脅和脆弱點(diǎn)，更新和控制系統(tǒng)。
6.促使管理層堅(jiān)持信息安全體系的實(shí)施。
總之，ISO27001信息安全管理系統(tǒng)提供了考慮安全、維護(hù)安全、改進(jìn)安全的必要工具，即管理安全工具。