適度安全。
信息安全管理的基本原則包括策略指導原則、風險評估原則、預防為主原則、適度安全原則、成熟技術原則和規範標準原則等。
策略指導原則:所有的信息安全管理活動都應該在統壹的策略指導下進行。
風險評估原則:信息安全管理策略的制訂要依據風險評估的結果。
預防為主原則:在信息系統的規劃、設計、采購、集成和安裝中要同步考慮信息安全問題,不可心存僥幸或事後彌補。
適度安全原則:要平衡安全控制的費用與風險危害的損失,註重實效,將風險降至用戶可接受的程度即可,沒有必要追求絕對的、代價高昂的安全,實際上也沒有絕對的安全。
成熟技術原則:盡量選用成熟的技術,以得到可靠的安全保證。采用新技術時要慎重,要重視其成熟程度。
規範標準原則:安全系統要遵循統壹的操作規範和技術標準,以保證互連通和互操作,否則,就會形成壹個個安全孤島,沒有統壹的整體安全可言。
信息安全管理的內容
1、信息安全風險管理:信息安全管理就是依據安全標準和安全需求,對信息、信息載體和信息環境進行安全管理以達到安全目標。風險管理貫穿於整個信息系統生命周期,包括背景建立、風險評估、風險處理、批準監督、監控審查和溝通咨詢6個方面的內容。
2、信息安全管理體系:信息安全管理體系是整體管理體系的壹部分,也是組織在整體或特定範圍內建立信息安全方針和目標,並完成這些目標所用方法的體系。基於對業務風險的認識,信息安全管理體系包括建立、實施、運作、監視、保持和改進信息安全等壹系列管理活動,它是組織結構、方針策略、計劃活動、目標與原則、人員與責任、過程與方法、資源等諸多要素的集合。