a) 基于安全需求原則:組織機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔負的使命,積累的信息資產(chǎn)的重要性��,可能受到的威脅及面臨的風險分析安全需求����,按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級,遵從相應(yīng)等級的規(guī)范要求����,從全局上恰當?shù)仄胶獍踩度肱c含金量;
b) 主要領(lǐng)導(dǎo)負責原則:主要領(lǐng)導(dǎo)應(yīng)確立其組織統(tǒng)一的信息安全保障的宗旨和政策���,負責提高員工的安全意識��,組織有效安全保障隊伍���,調(diào)動并優(yōu)化配置必要的資源,協(xié)調(diào)安全管理工作與各部門工作的關(guān)系�����,并確保其落實���、有效�����;
c) 全員參與原則:信息系統(tǒng)所有相關(guān)人員應(yīng)普遍參與信息系統(tǒng)的安全管理��,并與相關(guān)方面協(xié)同�����、協(xié)調(diào)���,共同保障信息系統(tǒng)安全;
d) 系統(tǒng)方法原則:按照系統(tǒng)工程的要求����,識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程,采用管理和技術(shù)結(jié)合的方法��,提高實現(xiàn)安全保障的目標的有效性和效率����;
e) 持續(xù)改進原則:安全管理是一種動態(tài)反饋過程��,貫穿整個安全管理的生存周期�,隨著安全需求和系統(tǒng)脆弱性的時空分布變化�����,威脅程度的提高����,系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等,應(yīng)及時地將現(xiàn)有的安全策略�����、風險接受程度和保護措施進行復(fù)查�、修改、調(diào)整以至提升安全管理等級��,維護和持續(xù)改進信息安全管理體系的有效性����;
f) 依法管理原則:信息安全管理工作主要體現(xiàn)為管理行為,應(yīng)保證信息系統(tǒng)安全管理主體合法���、管理行為合法���、管理內(nèi)容合法、管理程序合法�。對安全事件的處理,應(yīng)由認證者適時發(fā)布準確一致的有關(guān)信息��,避免帶來不良的社會影響��;
g) 分權(quán)和認證原則:對特定職能或責任領(lǐng)域的管理功能實施分離���、獨立審計等實行分權(quán)��,避免權(quán)力過分集中所帶來的隱患�����,以減小未認證的修改或濫用系統(tǒng)資源的機會�����。任何實體(如用戶���、管理員、進程、應(yīng)用或系統(tǒng))僅享有該實體需要完成其任務(wù)所必須的權(quán)限��,不應(yīng)享有任何多余權(quán)限��;
h) 選用成熟技術(shù)原則:成熟的技術(shù)具有較好的可靠性和穩(wěn)定性�����,采用新技術(shù)時要重視其成熟的程度�����,并應(yīng)首先局部試點然后逐步推廣�����,以減少或避免可能出現(xiàn)的失誤��;
i) 分級保護原則:按等級劃分標準確定信息系統(tǒng)的安全保護等級��,實行分級保護����;對多個子系統(tǒng)構(gòu)成的大型信息系統(tǒng),確定系統(tǒng)的基本安全保護等級����,并根據(jù)實際安全需求��,分別確定各子系統(tǒng)的安全保護等級��,實行多級安全保護���;
j) 管理與技術(shù)并重原則:堅持積極防御和綜合防范�����,全面提高信息系統(tǒng)安全防護能力��,立足國情�,采用管理與技術(shù)相結(jié)合,管理科學性和技術(shù)前瞻性結(jié)合的方法�����,保障信息系統(tǒng)的安全性達到所要求的目標����;
k) 自保護和單位監(jiān)管結(jié)合原則:對信息系統(tǒng)安全實行自保護和單位保護相結(jié)合。組織機構(gòu)要對自己的信息系統(tǒng)安全保護負責�����,單位相關(guān)部門有責任對信息系統(tǒng)的安全進行指導(dǎo)、監(jiān)督和檢查��,形成自管��、自查���、自評和單位監(jiān)管相結(jié)合的管理模式��,提高信息系統(tǒng)的安全保護能力和水平��,保障單位信息安全��。
