資訊保安管理統一原則

a） 基於安全需求原則：組織機構應根據其資訊系統擔負的使命，積累的資訊資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照資訊系統等級保護要求確定相應的資訊系統安全保護等級，遵從相應等級的規範要求，從全域性上恰當地平衡安全投入與效果

b） 主要領導負責原則：主要領導應確立其組織統一的資訊保安保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動並優化配置必要的資源，協調安全管理工作與各部門工作的關係，並確保其落實、有效

c） 全員參與原則：資訊系統所有相關人員應普遍參與資訊系統的安全管理，並與相關方面協同、協調，共同保障資訊系統安全

d） 系統方法原則：按照系統工程的要求，識別和理解資訊保安保障相互關聯的層面和過程，採用管理和技術結合的方法，提高實現安全保障的目標的有效性和效率

e） 持續改進原則：安全管理是一種動態反饋過程，貫穿整個安全管理的生存週期，隨著安全需求和系統脆弱性的時空分佈變化，威脅程度的提高，系統環境的變化以及對系統安全認識的深化等，應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續改進資訊保安管理體系的有效性

f） 依法管理原則：資訊保安管理工作主要體現為管理行為，應保證資訊系統安全管理主體合法、管理行為合法、管理內容合法、管理程式合法。對安全事件的處理，應由授權者適時釋出準確一致的有關資訊，避免帶來不良的社會影響

g） 分權和授權原則：對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統資源的機會。任何實體（如使用者、管理員、程序、應用或系統）僅享有該實體需要完成其任務所必須的許可權，不應享有任何多餘許可權

h） 選用成熟技術原則：成熟的技術具有較好的可靠性和穩定性，採用新技術時要重視其成熟的程度，並應首先區域性試點然後逐步推廣，以減少或避免可能出現的失誤

i） 分級保護原則：按等級劃分標準確定資訊系統的安全保護等級，實行分級保護對多個子系統構成的大型資訊系統，確定系統的基本安全保護等級，並根據實際安全需求，分別確定各子系統的安全保護等級，實行多級安全保護

j） 管理與技術並重原則：堅持積極防禦和綜合防範，全面提高資訊系統安全防護能力，立足國情，採用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障資訊系統的安全性達到所要求的目標

k） 自保護和國家監管結合原則：對資訊系統安全實行自保護和國家保護相結合。組織機構要對自己的資訊系統安全保護負責，政府相關部門有責任對資訊系統的安全進行指導、監督和檢查，形成自管、自查、自評和國家監管相結合的管理模式，提高資訊系統的安全保護能力和水平，保障國家資訊保安。

原則1：“木桶原則”，即，對資訊均衡、全面地進行保護。

原則2：“整體性原則”，即，安全防護、監測和應急恢復。

原則3：“有效性與實用性”，即，不能影響系統的正常執行和合法操作。

原則4：“安全性評價”原則，即，實用安全性與使用者需求和應用環境緊密相關。

原則5：“等級性”，即，安全層次和安全級別。

原則6：“動態化”原則，即，整個系統內儘可能引入更多的可變因素，並具有良好的擴充套件性。

原則7：設計為本原則，即，安全系統的設計應與網路設計相結合。

原則8：自主和可控性原則。

原則9：許可權分割、互相制約、最小化原則。

原則10：有的放矢、各取所需原則。