信息安全管理是指導(dǎo)和控制信息安全風(fēng)險的相互協(xié)調(diào)活動。信息安全風(fēng)險的指導(dǎo)和控制活動通常包括制定信息安全政策、風(fēng)險評估、控制目標(biāo)和方法選擇、風(fēng)險控制和安全保障等。為了高效地管理組織的信息安全，動態(tài)管理必須根據(jù)信息安全管理模型和信息安全管理標(biāo)準構(gòu)建組織的信息安全管理體系。

目前，ISO27001信息安全管理系統(tǒng)(InformationSecurityManagementSystem，ISMS)還沒有明確的定義。在ISO27001中，信息安全管理系統(tǒng)可以理解為組織管理系統(tǒng)的一部分，專門用于組織的信息資產(chǎn)風(fēng)險管理，以確保組織的信息安全，包括制定、實施、評估和維護信息安全政策所需的組織、目標(biāo)、職責(zé)、程序、過程和資源。信息安全管理系統(tǒng)包含許多反饋環(huán)路。這些反饋環(huán)路可以監(jiān)控和控制系統(tǒng)的安全性，從而最大限度地降低組織的殘余風(fēng)險，保證組織滿足客戶和法律的要求。

一個有效的ISO27001信息安全管理系統(tǒng)具有以下功能:
1.增強員工的信息安全意識，規(guī)范信息安全行為。
2.全面系統(tǒng)地保護組織的關(guān)鍵信息資產(chǎn)，保持競爭優(yōu)勢。
3.使組織從預(yù)防和系統(tǒng)可持續(xù)發(fā)展的角度處理事故和損失。當(dāng)信息系統(tǒng)受到攻擊時，確保業(yè)務(wù)繼續(xù)發(fā)展，損失最小化。
4.使組織的業(yè)務(wù)伙伴和客戶對組織充滿信心。
5.讓組織定期考慮新的威脅和脆弱點，更新和控制系統(tǒng)。
6.促使管理層堅持信息安全體系的實施。
總之，ISO27001信息安全管理系統(tǒng)提供了考慮安全、維護安全、改進安全的必要工具，即管理安全工具。