政策指導原則:所有信息安全管理活動都應在統壹政策的指導下進行。
風險評估原則:信息安全管理策略的制定應基於風險評估的結果。
預防為主原則:在信息系統的規劃、設計、采購、集成和安裝中,應同時考慮信息安全問題,不允許心存僥幸或事後亡羊補牢。
適度安全原則:要平衡安全控制成本和風險隱患損失,註重實效,將風險降低到用戶可接受的水平。沒必要追求絕對和昂貴的安全,事實上也沒有絕對的安全。
技術成熟原則:盡量選擇成熟的技術,以獲得可靠的安全保障。在采用新技術時,我們應該謹慎,並註意它們的成熟度。
規範標準原則:安全系統應遵循統壹的運行規範和技術標準,保證互聯互通,否則會形成多個安全孤島,沒有統壹的整體安全。
信息安全管理的內容
1.信息安全風險管理:信息安全管理是根據安全標準和安全要求對信息、信息載體和信息環境進行安全管理,以實現安全目標。風險管理貫穿於整個信息系統生命周期,包括背景建立、風險評估、風險處理、審批與監督、監控與審查、溝通與咨詢。
2.信息安全管理體系:信息安全管理體系是整體管理體系的壹部分,也是組織在整體或特定範圍內建立信息安全方針和目標,並完成這些目標所采用的方法體系。基於對業務風險的認識,信息安全管理體系包括建立、實施、運行、監控、維護和提高信息安全等壹系列管理活動。它是組織結構、政策和戰略、計劃的活動、目標和原則、人員和責任、過程和方法、資源和其他許多要素的集合。
3.信息安全控制措施:信息安全控制措施是管理信息安全風險的具體手段和方法。將風險控制在可接受的範圍內取決於組織部署的各種安全措施。壹套合理的控制措施應該綜合技術、管理、物理、法律、行政等多種方法,威懾安全違規者甚至犯罪分子,預防和檢測安全事件的發生,將被破壞的系統恢復到正常狀態。