信息安全管理遵循哪些基本原则
信息安全管理遵循以下基本原则:
策略指导原则:所有的信息安全管理活动都应该在统一的策略指导下进行。
风险评估原则:信息安全管理策略的制订要依据风险评估的结果。
预防为主原则:在信息系统的规划、设计、采购、集成和安装中要同步考虑信息安全问题,不可心存侥幸或事后弥补。
适度安全原则:要平衡安全控制的费用与风险危害的损失,注重实效,将风险降至用户可接受的程度即可,没有必要追求绝对的、代价高昂的安全,实际上也没有绝对的安全。
立足国内原则:考虑到国家安全和经济利益,安全技术和产品首先要立足国内,不能未经许可、未能消化改造直接使用境外的安全保密技术和产品设备,特别是信息安全方面的关键技术和核心技术尤其如此。
成熟技术原则:尽量选用成熟的技术,以得到可靠的安全保证。采用新技术时要慎重,要重视其成熟程度。
规范标准原则:安全系统要遵循统一的操作规范和技术标准,以保证互连通和互操作,否则,就会形成一个个安全孤岛,没有统一的整体安全可言。
均衡防护原则:安全防护如同木桶装水,一是,只要木桶有一块坏板,水就会从里面泄漏出来;二是,木桶中的水只和最低一块木板看齐,其他木板再高也无用。所以,安全防护措施要注意均衡性,注意是否存在薄弱环节或漏洞。
分权制衡原则:要害部位的管理权限不应交给个人管理,否则,一旦出现问题将全线崩溃。分权可以相互制约,提高安全性。
全体参与原则:安全问题不只是安全管理人员的事情,全体相关人员都有责任。如果安全管理人员制订的安全制度和措施得不到相关人员的切实执行,安全隐患依然存在,安全问题就不会得到真正解决。
应急恢复原则:安全防护不怕一万就怕万一,因此安全管理要有应急响应预案,并且要进行必要的演练,一旦出现问题就能够马上采取应急措施,阻止风险的蔓延和恶化,将损失减少到最低程度。天灾人祸在所难免,因此应在灾难不能同时波及的地区设立备份中心,保持备份中心与主系统数据的一致性。一旦主系统遇到灾难而瘫痪,便可立即启动备份系统,使系统从灾难中得以恢复,保证系统的连续工作。
持续发展原则:为了应对新的风险,对风险要实施动态管理。因此,要求安全系统具有延续性、可扩展性,能够持续改进,始终将风险控制在可接受的水平。