1, 주요 리더십의 원칙
주요 리더는 조직 및 통합 정보 보안의 취지와 방침을 확립하고, 직원들의 안전의식을 높이고, 효과적인 보안팀을 구성하고, 필요한 자원을 동원 및 최적화하고, 보안 관리와 각 부서의 업무 관계를 조정하고, 그 구현과 유효성을 보장해야 합니다.
2, 전원 참여 원칙
정보 시스템의 모든 관계자들은 정보 시스템의 보안 관리에 보편적으로 참여해야 하며, 정보 시스템의 안전을 보장하기 위해 관계자와 협력하고 조율해야 합니다.
3, 시스템 방법의 원칙
시스템 엔지니어링의 요구 사항에 따라 정보 보안의 상호 연관된 계층과 프로세스를 식별하고 이해하며 관리와 기술을 결합하여 보안 목표 달성의 효율성과 효율성을 높입니다.
4, 지속적인 개선의 원칙
보안 관리는 보안 관리의 수명 주기 전반에 걸쳐 동적 피드백 프로세스입니다. 보안 요구 사항 및 시스템 취약성의 공간적 및 시간적 분포 변화, 위협 수준 향상, 시스템 환경의 변화 및 시스템 보안에 대한 인식이 심화됨에 따라 기존 보안 정책, 위험 수용 및 보호 조치를 검토, 개정, 조정 또는 업그레이드하여 정보 보안 관리 시스템의 효율성을 유지하고 지속적으로 개선해야 합니다.
5, 법에 따라 관리하는 원칙
정보 보안 관리는 주로 관리 행동에 반영되며 정보 시스템 보안 관리 주체, 관리 행동, 컨텐츠 관리 및 관리 절차의 합법성을 보장해야 합니다. 안전사건을 처리할 때, 허가자는 적시에 정확하고 일관된 정보를 발표하여 나쁜 사회적 영향을 피해야 한다.
6, 지방 분권화 및 권한 부여 원칙
특정 기능 또는 책임 영역에서 관리 기능의 분리, 독립 감사 등 권력의 과도한 집중으로 인한 숨겨진 위험을 피하기 위해 실시해야 하며, 시스템 자원을 무단으로 수정하거나 남용할 가능성을 줄여야 한다. 모든 엔티티 (예: 사용자, 관리자, 프로세스, 적용 또는 시스템) 는 해당 엔티티가 작업을 완료하는 데 필요한 권한만을 가지며 중복 권한은 부여되지 않습니다.
7. 성숙한 기술 선택 원칙
성숙한 기술은 신뢰성과 안정성이 우수하므로 새로운 기술을 채택할 때 성숙도에 주의해야 하며, 먼저 국부적인 시도를 한 다음 점진적으로 홍보하여 발생할 수 있는 오류를 줄이거나 피해야 합니다.
8, 계층 적 보호 원칙
등급 기준에 따라 정보 시스템의 보안 수준을 결정하고 등급 보호를 구현합니다. 여러 하위 시스템으로 구성된 대규모 정보 시스템의 경우 시스템의 기본 보안 수준을 결정하고 실제 보안 요구 사항에 따라 각 하위 시스템의 보안 수준을 개별적으로 결정하여 다단계 보안을 구현합니다.
9. 관리와 기술을 병행하는 원칙
적극적인 방어, 종합 예방, 정보 시스템 보안 보호 능력 향상, 국정에 입각하여 관리와 기술의 결합, 과학적 관리, 기술 예견을 결합하는 방법을 채택하여 정보 시스템 보안이 원하는 목표를 달성할 수 있도록 합니다.
10, 자기 보호와 국가 규제의 결합 원칙
정보 시스템 보안은 자기 보호와 국가 보호를 결합하는 방식을 취한다. 조직은 자체 정보 시스템의 보안을 책임지고, 정부 관련 부서는 정보 시스템의 보안을 안내, 감독 및 검사하고, 자체 관리, 자체 검사, 자체 평가 및 국가 감독을 결합한 관리 모델을 형성하며, 정보 시스템의 보안 능력과 수준을 향상시키고, 국가 정보 보안을 보장해야 합니다.