1,主要領導負責的原則
主要領導應確立組織和統壹信息安全的宗旨和方針,負責提高員工的安全意識,組織有效的安全團隊,調動和優化必要的資源,協調安全管理與各部門工作的關系,並確保其實施和有效性。
2、全員參與的原則
信息系統的所有相關人員應普遍參與信息系統的安全管理,並與相關方合作和協調,以確保信息系統的安全。
3、系統方法的原則
按照系統工程的要求,識別和理解信息安全相互關聯的層次和過程,采用管理和技術相結合的方法,提高實現安全目標的有效性和效率。
4、持續改進的原則
安全管理是壹個動態反饋過程,貫穿於安全管理的整個生命周期。隨著安全需求和系統脆弱性時空分布的變化、威脅等級的提高、系統環境的變化和對系統安全認識的深化,應及時對現有的安全策略、風險接受和防護措施進行審查、修訂、調整甚至升級,以保持和持續改進信息安全管理體系的有效性。
5、依法管理的原則
信息安全管理主要體現在管理行為上,應保證信息系統安全管理主體、管理行為、管理內容和管理程序的合法性。在處理安全事件時,授權人應及時發布準確壹致的信息,以避免不良的社會影響。
6、分權和授權原則
管理職能在特定職能或責任領域的分離、獨立審計等。應予以實施,以避免權力過度集中帶來的隱患,從而減少未經授權修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)只享有該實體完成其任務的必要權限,不應享有任何冗余權限。
7.選擇成熟技術的原則
成熟的技術具有良好的可靠性和穩定性,因此在采用新技術時應註意其成熟度,應先進行局部嘗試,然後逐步推廣,以減少或避免可能出現的錯誤。
8、分級保護原則
根據分級標準確定信息系統的安全保護等級,實施分級保護;對於由多個子系統組成的大型信息系統,確定系統的基本安全防護等級,並根據實際安全需求,分別確定各子系統的安全防護等級,實施多級安全防護。
9.管理與技術並重的原則
堅持積極防禦、綜合防範,全面提升信息系統安全防護能力,立足國情,采取管理與技術相結合、科學管理與技術預見相結合的方法,確保信息系統安全達到預期目標。
10,自我保護與國家監管相結合的原則
信息系統安全采取自我保護和國家保護相結合的方式。組織應負責自身信息系統的安全保護,政府相關部門有責任對信息系統的安全進行指導、監督和檢查,形成自我管理、自我檢查、自我評估和國家監管相結合的管理模式,提高信息系統的安全保護能力和水平,確保國家信息安全。