정보 보안 관리의 기본 원칙으로는 정책 지침 원칙, 위험 평가 원칙, 예방 원칙, 적정 보안 원칙, 기술 성숙도 원칙, 표준 원칙 등이 있습니다.
정책 지침 원칙: 모든 정보 보안 관리 활동은 통일 정책의 지도 하에 수행되어야 합니다.
위험 평가 원칙: 정보 보안 관리 정책 수립은 위험 평가 결과를 기준으로 해야 합니다.
예방 원칙: 정보 시스템의 계획, 설계, 구매, 통합 및 설치에서는 정보 보안 문제를 동시에 고려해야 하며, 요행이나 사후 보상을 해서는 안 됩니다.
적정한 보안 원칙: 보안 통제 비용과 위험 손실의 균형을 맞추고, 실효를 중시하며, 위험을 사용자가 받아들일 수 있는 수준으로 낮춰야 합니다. 절대적이고 비싼 안전을 추구할 필요는 없고, 사실상 절대적인 안전도 없다.
기술 성숙도 원칙: 신뢰할 수 있는 보안을 위해 검증된 기술을 선택하세요. 신기술을 채택할 때, 우리는 신중해야 하며, 그것들의 성숙도에 주의해야 한다.
규범 기준 원칙: 보안 시스템은 일관된 운영 사양과 기술 표준을 준수하여 상호 연결을 보장해야 합니다. 그렇지 않으면 여러 개의 보안 섬이 형성되고 전체적인 보안이 통일되지 않습니다.
정보 보안 관리의 내용
1. 정보 보안 위험 관리: 정보 보안 관리는 보안 표준 및 보안 요구 사항에 따라 정보, 정보 캐리어 및 정보 환경을 안전하게 관리하여 보안 목표를 달성합니다. 위험 관리는 배경 설정, 위험 평가, 위험 처리, 승인 및 감독, 모니터링 및 검토, 커뮤니케이션 및 컨설팅을 포함한 정보 시스템 수명주기 전반에 걸쳐 이루어집니다.
2. 정보 보안 관리 시스템: 정보 보안 관리 시스템은 전체 관리 시스템의 일부이며, 조직이 전체 또는 특정 범위 내에서 정보 보안 방침과 목표를 설정하고 이러한 목표를 달성하는 데 사용하는 방법론입니다. 비즈니스 위험에 대한 인식을 바탕으로 정보 보안 관리 시스템에는 정보 보안 구축, 구축, 운영, 모니터링, 유지 관리 및 향상과 같은 다양한 관리 활동이 포함됩니다. 조직 구조, 정책 및 전략, 계획된 활동, 목표 및 원칙, 인력 및 책임, 프로세스 및 방법, 자원 및 기타 많은 요소의 모음입니다.