1、主要領導人負責原則。
信息安全保護工作事關大局,影響組織和機構的全局,主要領導人必須把信息安全列爲其最關心的問題之一,並負責提高、加強部門人員的認識,組織有效隊伍,調動必要資源和經費,協調信息安全管理工作與各部門的工作,使之落實、有效。
2、規範定級原則。
有關部門或組織根據其信息重要程度和敏感程度以及自身資源的客觀條件,應按標準確定信息安全管理要求的相應等級,並在履行相應的審批手續後,切實遵從相應等級的規範要求,制定相應的安全策略,並認真實施。
3、依法行政原則。
信息安全管理工作主要體現爲行政行爲,因此必須保證信息系統安全行政主體合法、行政行爲合法、行政內容合法、行政程序合法。
4、以人爲本原則。
威脅和保護這兩個對立面是信息安全管理工作的主體。實踐表 明它們在很大程度上受制於人爲的因素。加強信息安全教育、培訓和管理,強化安全意 識和法治觀念,提升職業道德,掌握安全技術是做好信息安全管理工作的重要保證。
5、注重效費比原則。
安全需求的不斷增加和現實資源的有限性使安全決策赴於兩難境地。恰當地把握效費比是從全局上處置好信息安全管理工作的一個平衡點。
6、全面防範、突出重點原則。
全面防範是信息系統綜合保障措施。它需要從人員、管理和技術多方面,在預警、保護、檢測、反應、恢復和跟蹤等多個環節上採用多種技術實施。同時,又要從組織和機構的實際情況出發,突出自身的信息安全管理重點。不同的部門、不同的信息系統應有不同的信息安全管理重點。
7、系統、動態原則。
信息系統安全管理的系統特徵突出。要按照系統工程的要求,注意各方面,各層次、各時期的相互協調、匹配和銜接,以便能按照“木桶原理”體現信息保護安全管理的系統集成效果。同時,信息保護安全管理又是一種狀態和過程,隨着系統脆弱性及其強度的時空分佈的變化,威脅程度的提高,系統環境的變化以及人員對系統安全認識的深化等,必須及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級。
8、特殊的安全管理原則。
在制定和實施安全策略和技術措施時,必須遵循安全管理的10個特殊原則。