信息安全管理策略原则

信息安全管理的基本原则如下。

1.以安全保发展,在发展中求安全

信息安全的目的是通过保护信息系统内有价值的资产,如数据、硬件、软件和环境等,以实现信息系统的健康、有序和稳定运行,促进社会、政治、经济和文化的发展。没有安全保证的信息化,以及牺牲信息化发展来换取安全,是两种必须摒弃的错误做法。科学的安全发展观是在安全意识上全面提高对信息安全保障认识的同时,采用渐进的适度安全策略来保证和推进信息化的发展,并通过信息化的发展为信息安全保障体系的逐步完善提供充足的人力、财力和物力支持。

2.受保护资源的价值与保护成本平衡

信息安全的成本和效益比应该在货币和非货币两个层面上进行评估,以保证将成本控制在预期的范围内。

3.明确国家、企业和个人对信息安全的职责和可确认性

应该明确表述与信息系统相关的所有者、管理者、经营者、供应商及使用者应该承担的安全职责和可确认性。

4.信息安全需要积极防御和综合防范(www.xing528.com)

信息安全需要综合治理的方法,坚持保护与监管相结合、技术措施与管理并重的方针,综合治理方法将延伸到信息系统的整个生命期。

5.定期评估信息系统的残留风险

信息系统及其运行环境是动态变化的,一劳永逸的信息系统安全解决方案是不存在的。因此必须定期评估信息系统的残留风险,并以此调整安全策略。

6.综合考虑社会因素对信息安全的制约

信息安全受到很多社会因素的制约,如国家法律、社会文化和社会影响等。安全措施的选择和实现还应该综合考虑法律框架下信息系统所有者与使用者、所有者和社会各方面之间的利益平衡。

7.信息安全管理体现以人为本

信息安全管理要体现人性化、社会公平和平等交换的价值观念。