《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 網絡安全等級保護:信息系統(tǒng)安全管理的原則

網絡安全等級保護:信息系統(tǒng)安全管理的原則

2021-11-02
來源:河南等級保護測評

  在貫徹落實網絡安全等級保護工作過程中,信息系統(tǒng)安全管理應遵循一個什么樣的原則呢?信息系統(tǒng)遵循的原則,是有國家標準可以參考的,而且在建設運行系統(tǒng)過程中這個比較理想的遵循就是《信息安全技術 信息系統(tǒng)安全管理要求》(GB/T 20269-2006)。根據現行國標《信息安全技術 信息系統(tǒng)安全管理要求》(GB/T 20269-2006)中給出的原則共11條,如下,可以作為信息安全工作者參考的依據。以下摘錄信息系統(tǒng)安全管理的原則,供大家參考!

  微信圖片_20211102085659.jpg

  a) 基于安全需求原則:組織機構應根據其信息系統(tǒng)擔負的使命,積累的信息資產的重要性,可能受到的威脅及面臨的風險分析安全需求,按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級,遵從相應等級的規(guī)范要求,從全局上恰當地平衡安全投入與效果;

  b) 主要領導負責原則:主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策,負責提高員工的安全意識,組織有效安全保障隊伍,調動并優(yōu)化配置必要的資源,協調安全管理工作與各部門工作的關系,并確保其落實、有效;

  c) 全員參與原則:信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理,并與相關方面協同、協調,共同保障信息系統(tǒng)安全;

  d) 系統(tǒng)方法原則:按照系統(tǒng)工程的要求,識別和理解信息安全保障相互關聯的層面和過程,采用管理和技術結合的方法,提高實現安全保障的目標的有效性和效率;

  e) 持續(xù)改進原則:安全管理是一種動態(tài)反饋過程,貫穿整個安全管理的生存周期,隨著安全需求和系統(tǒng)脆弱性的時空分布變化,威脅程度的提高,系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等,應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級,維護和持續(xù)改進信息安全管理體系的有效性;

  f) 依法管理原則:信息安全管理工作主要體現為管理行為,應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理,應由授權者適時發(fā)布準確一致的有關信息,避免帶來不良的社會影響;

  g) 分權和授權原則:對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權,避免權力過分集中所帶來的隱患,以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體(如用戶、管理員、進程、應用或系統(tǒng))僅享有該實體需要完成其任務所必須的權限,不應享有任何多余權限;

  h) 選用成熟技術原則:成熟的技術具有較好的可靠性和穩(wěn)定性,采用新技術時要重視其成熟的程度,并應首先局部試點然后逐步推廣,以減少或避免可能出現的失誤;

  i) 分級保護原則:按等級劃分標準確定信息系統(tǒng)的安全保護等級,實行分級保護;對多個子系統(tǒng)構成的大型信息系統(tǒng),確定系統(tǒng)的基本安全保護等級,并根據實際安全需求,分別確定各子系統(tǒng)的安全保護等級,實行多級安全保護;

  j) 管理與技術并重原則:堅持積極防御和綜合防范,全面提高信息系統(tǒng)安全防護能力,立足國情,采用管理與技術相結合,管理科學性和技術前瞻性結合的方法,保障信息系統(tǒng)的安全性達到所要求的目標;

  k) 自保護和國家監(jiān)管結合原則:對信息系統(tǒng)安全實行自保護和國家保護相結合。組織機構要對自己的信息系統(tǒng)安全保護負責,政府相關部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查,形成自管、自查、自評和國家監(jiān)管相結合的管理模式,提高信息系統(tǒng)的安全保護能力和水平,保障國家信息安全。




電子技術圖片.png

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。