b)主要領導責任原則:主要領導應制定統壹的信息安全目標和政策,負責提高員工的安全意識,組織有效的安全團隊,調動和優化必要的資源,協調安全管理與各部門工作的關系,並確保其實施和有效性;
c)全員參與原則:信息系統的所有相關人員壹般應參與信息系統的安全管理,並與相關方合作協調,確保信息系統的安全;
d)系統方法原則:根據系統工程的要求,識別和理解信息安全相互關聯的層次和過程,采用管理和技術相結合的方法,提高實現安全目標的有效性和效率;
e)持續改進原則:安全管理是壹個動態反饋過程,貫穿於安全管理的全生命周期。隨著安全需求和系統脆弱性的變化、威脅等級的提高、系統環境的變化和系統安全意識的深化,應及時對現有的安全策略、風險接受和保護措施進行評審、修訂、調整甚至升級,以保持和持續改進信息安全管理體系的有效性;
f)依法管理原則:信息安全管理主要體現在管理行為上,應保證信息系統安全管理主體、管理行為、管理內容、管理程序的合法性。對於安全事件的處理,授權人應及時發布準確壹致的信息,避免造成不良社會影響;
g)權力下放和授權原則:在具體職能或責任領域、獨立審計等方面分離管理職能。應予以實施,以避免權力過度集中帶來的隱患,從而減少未經授權修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)只享有該實體完成其任務的必要權限,不應享有任何冗余權限;
h)選擇成熟技術的原則:成熟技術具有良好的可靠性和穩定性,在采用新技術時,應註意其成熟度,先進行局部試點,再逐步推廣,以減少或避免可能出現的失誤;
壹)等級保護原則:根據等級標準確定信息系統的安全保護級別,實施等級保護;對於由多個子系統組成的大型信息系統,確定系統的基本安全防護等級,並根據實際安全需求,分別確定各子系統的安全防護等級,實施多級安全防護;
j)管理與技術並重的原則:堅持積極防禦與全面防禦相結合,全面提升信息系統安全防護能力,立足國情,采取管理與技術相結合、科學管理與技術預見相結合的方法,確保信息系統安全達到要求的目標;
k)自我保護與國家監管相結合的原則:信息系統安全自我保護與國家保護相結合。組織應負責自身信息系統的安全保護,政府相關部門有責任對信息系統的安全進行指導、監督和檢查,形成自我管理、自我檢查、自我評估和國家監管相結合的管理模式,提高信息系統的安全保護能力和水平,確保國家信息安全。