信息安全8个总原则

1、主要领导人负责原则。

信息安全保护工作事关大局，影响组织和机构的全局，主要领导人必须把信息安全列为其最关心的问题之一，并负责提高、加强部门人员的认识，组织有效队伍，调动必要资源和经费，协调信息安全管理工作与各部门的工作，使之落实、有效。

2、规范定级原则。

有关部门或组织根据其信息重要程度和敏感程度以及自身资源的客观条件，应按标准确定信息安全管理要求的相应等级，并在履行相应的审批手续后，切实遵从相应等级的规范要求，制定相应的安全策略，并认真实施。

3、依法行政原则。

信息安全管理工作主要体现为行政行为，因此必须保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。

4、以人为本原则。

威胁和保护这两个对立面是信息安全管理工作的主体。实践表 明它们在很大程度上受制于人为的因素。加强信息安全教育、培训和管理，强化安全意 识和法治观念，提升职业道德，掌握安全技术是做好信息安全管理工作的重要保证。

5、注重效费比原则。

安全需求的不断增加和现实资源的有限性使安全决策赴于两难境地。恰当地把握效费比是从全局上处置好信息安全管理工作的一个平衡点。

6、全面防范、突出重点原则。

全面防范是信息系统综合保障措施。它需要从人员、管理和技术多方面，在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实施。同时，又要从组织和机构的实际情况出发，突出自身的信息安全管理重点。不同的部门、不同的信息系统应有不同的信息安全管理重点。

7、系统、动态原则。

信息系统安全管理的系统特征突出。要按照系统工程的要求，注意各方面，各层次、各时期的相互协调、匹配和衔接，以便能按照“木桶原理”体现信息保护安全管理的系统集成效果。同时，信息保护安全管理又是一种状态和过程，随着系统脆弱性及其强度的时空分布的变化，威胁程度的提高，系统环境的变化以及人员对系统安全认识的深化等，必须及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级。

8、特殊的安全管理原则。

在制定和实施安全策略和技术措施时，必须遵循安全管理的10个特殊原则。