八大原則:(1)主要領導負責的原則。主要領導人必須將信息安全列為他們最關心的問題之壹。(2)規範分級原則。相關部門或者組織應當根據標準確定相應等級的信息安全管理要求,履行相應的審批程序後制定相應的安全政策,並認真實施。(3)依法行政原則。信息安全管理主要體現在行政行為上,需要確保信息系統安全的行政主體、行政行為、行政內容和行政程序合法。(4)以人為本原則。威脅和防護是信息安全管理的兩個對立面。實踐表明,它們在很大程度上受制於人的因素。(5)註重成本效益原則。正確把握效費比是從全局出發處理信息安全管理的壹個平衡點。(6)全面預防、突出重點的原則。綜合防範(如人員、管理、技術等方面)是信息系統的綜合保障措施。同時,要從組織機構的實際情況出發,突出信息安全管理的重點。不同的部門和不同的信息系統應有不同的信息安全管理重點。(7)系統性和動態性原則。信息保護安全管理是壹種狀態和過程,隨著系統脆弱性和強度的時空分布而變化;威脅等級提高;隨著系統環境的變化和人員對系統安全認識的加深,需要及時對現有的安全策略、風險接受程度和保護措施進行評審、修改、調整乃至提升安全管理水平。(8)特殊安全管理原則。在制定和實施安全政策和技術措施時,必須遵循10安全管理的特殊原則。