信息安全管理是指導和控制信息安全風(fēng)險的相互協(xié)調活動(dòng)。信息安全風(fēng)險的指導和控制活動(dòng)通常包括制定信息安全政策、風(fēng)險評估、控制目標和方法選擇、風(fēng)險控制和安全保障等。為了高效地管理組織的信息安全，動(dòng)態(tài)管理必須根據信息安全管理模型和信息安全管理標準構建組織的信息安全管理體系。

目前，ISO27001信息安全管理系統(InformationSecurityManagementSystem，ISMS)還沒(méi)有明確的定義。在ISO27001中，信息安全管理系統可以理解為組織管理系統的一部分，專(zhuān)門(mén)用于組織的信息資產(chǎn)風(fēng)險管理，以確保組織的信息安全，包括制定、實(shí)施、評估和維護信息安全政策所需的組織、目標、職責、程序、過(guò)程和資源。信息安全管理系統包含許多反饋環(huán)路。這些反饋環(huán)路可以監控和控制系統的安全性，從而最大限度地降低組織的殘余風(fēng)險，保證組織滿(mǎn)足客戶(hù)和法律的要求。

一個(gè)有效的ISO27001信息安全管理系統具有以下功能:
1.增強員工的信息安全意識，規范信息安全行為。
2.全面系統地保護組織的關(guān)鍵信息資產(chǎn)，保持競爭優(yōu)勢。
3.使組織從預防和系統可持續發(fā)展的角度處理事故和損失。當信息系統受到攻擊時(shí)，確保業(yè)務(wù)繼續發(fā)展，損失最小化。
4.使組織的業(yè)務(wù)伙伴和客戶(hù)對組織充滿(mǎn)信心。
5.讓組織定期考慮新的威脅和脆弱點(diǎn)，更新和控制系統。
6.促使管理層堅持信息安全體系的實(shí)施。
總之，ISO27001信息安全管理系統提供了考慮安全、維護安全、改進(jìn)安全的必要工具，即管理安全工具。