信息安全管理遵循以下基本原則:
策略指導原則:所有的信息安全管理活動都應該在統壹的策略指導下進行。
風險評估原則:信息安全管理策略的制訂要依據風險評估的結果。
預防為主原則:在信息系統的規劃、設計、采購、集成和安裝中要同步考慮信息安全問題,不可心存僥幸或事後彌補。
適度安全原則:要平衡安全控制的費用與風險危害的損失,註重實效,將風險降至用戶可接受的程度即可,沒有必要追求絕對的、代價高昂的安全,實際上也沒有絕對的安全。
立足國內原則:考慮到國家安全和經濟利益,安全技術和產品首先要立足國內,不能未經許可、未能消化改造直接使用境外的安全保密技術和產品設備,特別是信息安全方面的關鍵技術和核心技術尤其如此。
成熟技術原則:盡量選用成熟的技術,以得到可靠的安全保證。采用新技術時要慎重,要重視其成熟程度。
規範標準原則:安全系統要遵循統壹的操作規範和技術標準,以保證互連通和互操作,否則,就會形成壹個個安全孤島,沒有統壹的整體安全可言。
均衡防護原則:安全防護如同木桶裝水,壹是,只要木桶有壹塊壞板,水就會從裏面泄漏出來;二是,木桶中的水只和最低壹塊木板看齊,其他木板再高也無用。所以,安全防護措施要註意均衡性,註意是否存在薄弱環節或漏洞。
分權制衡原則:要害部位的管理權限不應交給個人管理,否則,壹旦出現問題將全線崩潰。分權可以相互制約,提高安全性。
全體參與原則:安全問題不只是安全管理人員的事情,全體相關人員都有責任。如果安全管理人員制訂的安全制度和措施得不到相關人員的切實執行,安全隱患依然存在,安全問題就不會得到真正解決。
應急恢復原則:安全防護不怕壹萬就怕萬壹,因此安全管理要有應急響應預案,並且要進行必要的演練,壹旦出現問題就能夠馬上采取應急措施,阻止風險的蔓延和惡化,將損失減少到最低程度。天災人禍在所難免,因此應在災難不能同時波及的地區設立備份中心,保持備份中心與主系統數據的壹致性。壹旦主系統遇到災難而癱瘓,便可立即啟動備份系統,使系統從災難中得以恢復,保證系統的連續工作。
持續發展原則:為了應對新的風險,對風險要實施動態管理。因此,要求安全系統具有延續性、可擴展性,能夠持續改進,始終將風險控制在可接受的水平。