1、主要領導負責原則
主要領導應確立其組織統壹的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動並優化配置必要的資源,協調安全管理工作與各部門工作的關系,並確保其落實、有效。
2、全員參與原則
信息系統所有相關人員應普遍參與信息系統的安全管理,並與相關方面協同、協調,***同保障信息系統安全。
3、系統方法原則
按照系統工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率。
4、持續改進原則
安全管理是壹種動態反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統脆弱性的時空分布變化,威脅程度的提高,系統環境的變化以及對系統安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續改進信息安全管理體系的有效性。
5、依法管理原則
信息安全管理工作主要體現為管理行為,應保證信息系統安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發布準確壹致的有關信息,避免帶來不良的社會影響。
6、分權和授權原則
對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統資源的機會。任何實體(如用戶、管理員、進程、應用或系統)僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限。
7、選用成熟技術原則
成熟的技術具有較好的可靠性和穩定性,采用新技術時要重視其成熟的程度,並應首先局部試點然後逐步推廣,以減少或避免可能出現的失誤。
8、分級保護原則
按等級劃分標準確定信息系統的安全保護等級,實行分級保護;對多個子系統構成的大型信息系統,確定系統的基本安全保護等級,並根據實際安全需求,分別確定各子系統的安全保護等級,實行多級安全保護。
9、管理與技術並重原則
堅持積極防禦和綜合防範,全面提高信息系統安全防護能力,立足國情,采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統的安全性達到所要求的目標。
10、自保護和國家監管結合原則
對信息系統安全實行自保護和國家保護相結合。組織機構要對自己的信息系統安全保護負責,政府相關部門有責任對信息系統的安全進行指導、監督和檢查,形成自管、自查、自評和國家監管相結合的管理模式,提高信息系統的安全保護能力和水平,保障國家信息安全。