信息安全总体方针(3)
发布时间:2021-06-06
发布时间:2021-06-06
(五)持续改进原则
安全管理是一种动态反馈过程,贯穿整个安全管理的生存周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;
(六)依法管理原则
信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;
(七)分权和授权原则
对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中,带来隐患,以减少未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的最小权限,不应享有任何多余权限;
(八)选用成熟技术原则
成熟的技术具有较好的可靠性和稳定性,采用新技术时要重视其成熟度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;
(九)分等级保护原则
按等级划分标准确定信息系统的安全保护等级,实行分等级保护;对多个子系统构成的大型信息系统,确定系统的基本安全保护等级,并根据实际安全需求,分别确定各子系统的安全保护等级,实行多级安全保护;
(十)管理与技术并重原则
3
上一篇:不锈钢316L美国标准的内容
下一篇:初中英语中考总复习大全