信息安全管理是指导和控制信息安全风险的相互协调活动

信息安全管理是指导和控制信息安全风险的相互协调活动。信息安全风险的指导和控制活动通常包括制定信息安全政策、风险评估、控制目标和方法选择、风险控制和安全保障等。为了高效地管理组织的信息安全，动态管理必须根据信息安全管理模型和信息安全管理标准构建组织的信息安全管理体系。

目前，ISO27001信息安全管理系统(InformationSecurityManagementSystem，ISMS)还没有明确的定义。在ISO27001中，信息安全管理系统可以理解为组织管理系统的一部分，专门用于组织的信息资产风险管理，以确保组织的信息安全，包括制定、实施、评估和维护信息安全政策所需的组织、目标、职责、程序、过程和资源。信息安全管理系统包含许多反馈环路。这些反馈环路可以监控和控制系统的安全性，从而最大限度地降低组织的残余风险，保证组织满足客户和法律的要求。

一个有效的ISO27001信息安全管理系统具有以下功能:
1.增强员工的信息安全意识，规范信息安全行为。
2.全面系统地保护组织的关键信息资产，保持竞争优势。
3.使组织从预防和系统可持续发展的角度处理事故和损失。当信息系统受到攻击时，确保业务继续发展，损失最小化。
4.使组织的业务伙伴和客户对组织充满信心。
5.让组织定期考虑新的威胁和脆弱点，更新和控制系统。
6.促使管理层坚持信息安全体系的实施。
总之，ISO27001信息安全管理系统提供了考虑安全、维护安全、改进安全的必要工具，即管理安全工具。