在貫徹落實網絡安全等級保護工作過程中，信息系統(tǒng)安全管理應遵循一個什么樣的原則呢？信息系統(tǒng)遵循的原則，是有國家標準可以參考的，而且在建設運行系統(tǒng)過程中這個比較理想的遵循就是《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）。根據現行國標《信息安全技術 信息系統(tǒng)安全管理要求》（GB/T 20269-2006）中給出的原則共11條，如下，可以作為信息安全工作者參考的依據。以下摘錄信息系統(tǒng)安全管理的原則，供大家參考！

　　a） 基于安全需求原則：組織機構應根據其信息系統(tǒng)擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當地平衡安全投入與效果；

　　b） 主要領導負責原則：主要領導應確立其組織統(tǒng)一的信息安全保障的宗旨和政策，負責提高員工的安全意識，組織有效安全保障隊伍，調動并優(yōu)化配置必要的資源，協調安全管理工作與各部門工作的關系，并確保其落實、有效；

　　c） 全員參與原則：信息系統(tǒng)所有相關人員應普遍參與信息系統(tǒng)的安全管理，并與相關方面協同、協調，共同保障信息系統(tǒng)安全；

　　d） 系統(tǒng)方法原則：按照系統(tǒng)工程的要求，識別和理解信息安全保障相互關聯的層面和過程，采用管理和技術結合的方法，提高實現安全保障的目標的有效性和效率；

　　e） 持續(xù)改進原則：安全管理是一種動態(tài)反饋過程，貫穿整個安全管理的生存周期，隨著安全需求和系統(tǒng)脆弱性的時空分布變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及對系統(tǒng)安全認識的深化等，應及時地將現有的安全策略、風險接受程度和保護措施進行復查、修改、調整以至提升安全管理等級，維護和持續(xù)改進信息安全管理體系的有效性；

　　f） 依法管理原則：信息安全管理工作主要體現為管理行為，應保證信息系統(tǒng)安全管理主體合法、管理行為合法、管理內容合法、管理程序合法。對安全事件的處理，應由授權者適時發(fā)布準確一致的有關信息，避免帶來不良的社會影響；

　　g） 分權和授權原則：對特定職能或責任領域的管理功能實施分離、獨立審計等實行分權，避免權力過分集中所帶來的隱患，以減小未授權的修改或濫用系統(tǒng)資源的機會。任何實體（如用戶、管理員、進程、應用或系統(tǒng)）僅享有該實體需要完成其任務所必須的權限，不應享有任何多余權限；

　　h） 選用成熟技術原則：成熟的技術具有較好的可靠性和穩(wěn)定性，采用新技術時要重視其成熟的程度，并應首先局部試點然后逐步推廣，以減少或避免可能出現的失誤；

　　i） 分級保護原則：按等級劃分標準確定信息系統(tǒng)的安全保護等級，實行分級保護；對多個子系統(tǒng)構成的大型信息系統(tǒng)，確定系統(tǒng)的基本安全保護等級，并根據實際安全需求，分別確定各子系統(tǒng)的安全保護等級，實行多級安全保護；

　　j） 管理與技術并重原則：堅持積極防御和綜合防范，全面提高信息系統(tǒng)安全防護能力，立足國情，采用管理與技術相結合，管理科學性和技術前瞻性結合的方法，保障信息系統(tǒng)的安全性達到所要求的目標；

　　k） 自保護和國家監(jiān)管結合原則：對信息系統(tǒng)安全實行自保護和國家保護相結合。組織機構要對自己的信息系統(tǒng)安全保護負責，政府相關部門有責任對信息系統(tǒng)的安全進行指導、監(jiān)督和檢查，形成自管、自查、自評和國家監(jiān)管相結合的管理模式，提高信息系統(tǒng)的安全保護能力和水平，保障國家信息安全。