信息安全管理的基本原则包括策略指导原则、风险评估原则、预防为主原则、适度安全原则、成熟技术原则和规范标准原则等。
策略指导原则:所有的信息安全管理活动都应该在统一的策略指导下进行。
风险评估原则:信息安全管理策略的制订要依据风险评估的结果。
预防为主原则:在信息系统的规划、设计、采购、集成和安装中要同步考虑信息安全问题,不可心存侥幸或事后弥补。
适度安全原则:要平衡安全控制的费用与风险危害的损失,注重实效,将风险降至用户可接受的程度即可,没有必要追求绝对的、代价高昂的安全,实际上也没有绝对的安全。
成熟技术原则:尽量选用成熟的技术,以得到可靠的安全保证。采用新技术时要慎重,要重视其成熟程度。
规范标准原则:安全系统要遵循统一的操作规范和技术标准,以保证互连通和互操作,否则,就会形成一个个安全孤岛,没有统一的整体安全可言。
信息安全管理的内容
1、信息安全风险管理:信息安全管理就是依据安全标准和安全需求,对信息、信息载体和信息环境进行安全管理以达到安全目标。风险管理贯穿于整个信息系统生命周期,包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。
2、信息安全管理体系:信息安全管理体系是整体管理体系的一部分,也是组织在整体或特定范围内建立信息安全方针和目标,并完成这些目标所用方法的体系。基于对业务风险的认识,信息安全管理体系包括建立、实施、运作、监视、保持和改进信息安全等一系列管理活动,它是组织结构、方针策略、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
3、信息安全控制措施:信息安全控制措施是管理信息安全风险的具体手段和方法。将风险控制在可接受的范围内,这依赖于组织部署的各种安全措施。合理的控制措施集应综合技术、管理、物理、法律、行政等各种方法,威慑安全违规人员甚至犯罪人员,预防、检测安全事件的发生,并将遭受破坏的系统恢复到正常状态。