B) 주요 리더십 책임 원칙: 주요 리더는 통일된 정보 보안 목표와 정책을 수립하고, 직원의 안전 의식을 높이고, 효과적인 보안 팀을 구성하고, 필요한 자원을 동원 및 최적화하고, 보안 관리와 각 부서의 업무 관계를 조정하고, 구현 및 효율성을 보장해야 합니다.
C) 전원 참여 원칙: 정보 시스템의 모든 관계자가 일반적으로 정보 시스템의 보안 관리에 참여하고 정보 시스템의 안전을 보장하기 위해 관계자와 협력해야 합니다.
D) 시스템 방법 원칙: 시스템 엔지니어링의 요구 사항에 따라 정보 보안의 상호 연관된 계층과 프로세스를 식별하고 이해하며, 관리와 기술을 결합하여 보안 목표 달성의 효율성과 효율성을 높입니다.
E) 지속적인 개선 원칙: 보안 관리는 보안 관리의 수명 주기 전반에 걸쳐 동적 피드백 프로세스입니다. 보안 요구 사항 및 시스템 취약성의 변화, 위협 수준 향상, 시스템 환경의 변화 및 시스템 보안 인식의 심화와 함께 기존 보안 정책, 위험 수용 및 보호 조치를 검토, 개정, 조정 또는 업그레이드하여 정보 보안 관리 시스템의 효율성을 유지하고 지속적으로 개선해야 합니다.
F) 법적 관리 원칙: 정보 보안 관리는 주로 관리 행위에 반영되며 정보 시스템 보안 관리 주체, 관리 행동, 컨텐츠 관리, 관리 절차의 합법성을 보장해야 합니다. 안전사건 처리의 경우, 허가자는 적시에 정확하고 일관된 정보를 발표하여 나쁜 사회적 영향을 끼치지 않도록 해야 한다.
G) 권한 위임 및 권한 부여 원칙: 특정 기능 또는 책임 영역, 독립 감사 등에서 관리 기능을 분리합니다. 권력의 과도한 집중으로 인한 숨겨진 위험을 피하기 위해 실시해야 하며, 시스템 자원을 무단으로 수정하거나 남용할 가능성을 줄여야 한다. 모든 엔티티 (예: 사용자, 관리자, 프로세스, 응용 프로그램 또는 시스템) 는 해당 엔티티가 작업을 완료하는 데 필요한 권한만을 가지며 중복 권한은 부여되지 않습니다.
H) 성숙한 기술을 선택하는 원칙: 성숙한 기술은 안정성과 안정성이 우수하며, 신기술을 채택할 때는 성숙도에 주의를 기울이고, 먼저 부분 파일럿을 한 다음 점진적으로 홍보하여 발생할 수 있는 실수를 줄이거나 피해야 합니다.
A) 등급 보호 원칙: 등급 기준에 따라 정보 시스템의 보안 수준을 결정하고 등급 보호를 구현합니다. 여러 하위 시스템으로 구성된 대규모 정보 시스템의 경우 시스템의 기본 보안 수준을 결정하고 실제 보안 요구 사항에 따라 각 하위 시스템의 보안 수준을 개별적으로 결정하여 다단계 보안을 구현합니다.
J) 관리와 기술을 병행하는 원칙: 적극적인 방어와 전면 방어의 결합을 견지하고, 정보 시스템 보안 보호 능력을 전면적으로 제고하고, 국정에 입각하고, 관리와 기술의 결합, 과학적 관리, 기술 예측을 결합하는 방법을 취하여 정보 시스템 보안이 원하는 목표를 달성할 수 있도록 합니다.
K) 자기 보호와 국가 규제의 결합 원칙: 정보 시스템 보안 자기 보호와 국가 보호의 결합. 조직은 자체 정보 시스템의 보안을 책임지고, 정부 관련 부서는 정보 시스템의 보안을 안내, 감독 및 검사하고, 자체 관리, 자체 검사, 자체 평가 및 국가 감독을 결합한 관리 모델을 형성하며, 정보 시스템의 보안 능력과 수준을 향상시키고, 국가 정보 보안을 보장해야 합니다.