信息安全管理是指導和控制信息安全風險的相互協調活動。信息安全風險的指導和控制活動通常包括制定信息安全政策、風險評估、控制目標和方法選擇、風險控制和安全保障等。為了高效地管理組織的信息安全，動態管理必須根據信息安全管理模型和信息安全管理標準構建組織的信息安全管理體系。

目前，ISO27001信息安全管理系統(InformationSecurityManagementSystem，ISMS)還沒有明確的定義。在ISO27001中，信息安全管理系統可以理解為組織管理系統的一部分，專門用于組織的信息資產風險管理，以確保組織的信息安全，包括制定、實施、評估和維護信息安全政策所需的組織、目標、職責、程序、過程和資源。信息安全管理系統包含許多反饋環路。這些反饋環路可以監控和控制系統的安全性，從而最大限度地降低組織的殘余風險，保證組織滿足客戶和法律的要求。

一個有效的ISO27001信息安全管理系統具有以下功能:
1.增強員工的信息安全意識，規范信息安全行為。
2.全面系統地保護組織的關鍵信息資產，保持競爭優勢。
3.使組織從預防和系統可持續發展的角度處理事故和損失。當信息系統受到攻擊時，確保業務繼續發展，損失最小化。
4.使組織的業務伙伴和客戶對組織充滿信心。
5.讓組織定期考慮新的威脅和脆弱點，更新和控制系統。
6.促使管理層堅持信息安全體系的實施。
總之，ISO27001信息安全管理系統提供了考慮安全、維護安全、改進安全的必要工具，即管理安全工具。