1.4 信息安全管理遵循的原则

信息安全管理应遵循以下原则。

1.规范原则

信息系统的规划、设计、实现、运行要有安全规范要求。要根据本机构或本部门的安全要求制定相应的安全政策，安全政策中要根据需要采用必要的安全功能，选用必要的安全设备，不应盲目开发、自由设计、违章操作、无人管理。

2.预防原则

在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度，以预防为主的指导思想对待信息安全问题，不能存在侥幸心理。

3.立足国内原则

安全技术和设备首先要立足国内，不能未经许可，未能消化改造直接应用境外的安全保密技术和设备。

4.选用成熟技术原则

成熟的技术提供可靠的安全保证，采用新技术时要重视其成熟的程度。

5.注重实效原则

不应盲目追求一时难以实现或投资过大的目标，应使投入与所需要的安全功能相适应。

6.系统化原则

要有系统工程的思想，前期的投入和建设与后期的提高要求要匹配和衔接，以便能够不断扩展安全功能，保护已有投资。

7.均衡保护原则

设置的安全保护中要注意是否存在薄弱环节。

8.分权制衡原则

重要环节的安全管理要采取分权制衡的原则，要害部门的管理权限如果只交给一个人管理，一旦出问题就将全线崩溃。分权可以相互制约，提高安全性。

9.应急原则

安全防护不怕一万，就怕万一，要有安全管理的应急响应预案，并且要进行必要的演练，一旦出现相关的问题，马上采取对应的措施。

10.灾难恢复原则

越是重要的信息系统，越要重视灾难恢复。在可能的灾难不能同时波及的地区设立备份中心。要求实时运行的系统要保持备份中心和主系统的数据一致性。一旦遇到灾难，立即启动备份系统，保证系统的连续工作。