我国信息化建设总结出来的宝贵经验有8个总原则和10个特殊原则。

1 . 8个总原则

(1)主要领导人负责原则。信息安全保护工作事关大局,影响组织和机构的全局, 主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认 识,组织有效队伍,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使 之落实、有效。

(2)规范定级原则。有关部门或组织根据其信息重要程度和敏感程度以及自身资源 的客观条件,应按标准确定信息安全管理要求的相应等级,并在履行相应的审批手续后, 切实遵从相应等级的规范要求,制定相应的安全策略,并认真实施。

(3)依法行政原则。信息安全管理工作主要体现为行政行为,因此必须保证信息系 统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。

(4)以人为本原则。威胁和保护这两个对立面是信息安全管理工作的主体。实践表 明它们在很大程度上受制于人为的因素。加强信息安全教育、培训和管理,强化安全意 识和法治观念,提升职业道德,掌握安全技术是做好信息安全管理工作的重要保证。

(5)注重效费比原则。安全需求的不断增加和现实资源的有限性使安全决策处于两 难境地。恰当地把握效费比是从全局上处置好信息安全管理工作的一个平衡点。

(6)全面防范、突出重点原则。全面防范是信息系统综合保障措施。它需要从人员、 管理和技术多方面,在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技 术实施。同时,又要从组织和机构的实际情况出发,突出自身的信息安全管理重点。不 同的部门、不同的信息系统应有不同的信息安全管理重点。

(7)系统、动态原则。信息系统安全管理的系统特征突出。要按照系统工程的要求, 注意各方面,各层次、各时期的相互协调、匹配和衔接,以便能按照“木桶原理”体现 信息保护安全管理的系统集成效果。同时,信息保护安全管理又是一种状态和过程,随 着系统脆弱性及其强度的时空分布的变化,威胁程度的提高,系统环境的变化以及人员 对系统安全认识的深化等,必须及时地将现有的安全策略、风险接受程度和保护措施进 行复查、修改、调整以至提升安全管理等级。

(8)特殊的安全管理原则。在制定和实施安全策略和技术措施时,必须遵循安全管 理的10个特殊原则。

2 . 10个特殊原则

(1)分权制衡原则。安全管理采取分权制衡的原则,避免操作权力过分集中,否则 一旦出现问题就将全线崩溃。

(2)最小特权原则。对信息、信息系统的访问采用最小特权原则。任何实体(用户、 管理员、进程、应用或系统)仅享有该主体需要完成其被指定任务所必须的特权,不应 享有任何多余特权。

(3)标准化原则。安全技术和设备的使用要经有关部门批准,并按有关等级标准 使用。

(4)用成熟的先进技术原则。成熟的技术提供可靠性、稳定性保证,采用新技术时 要重视其成熟的程度。如果新技术势在必行,应该首先局部试点然后逐步推广,减少或 避免可能出现的损失。

(5)失效保护原则。系统运行错误或故障时必须拒绝非授权访问,阻断非授权人员 进入内部系统,直至必要时以牺牲使用为代价确保安全。

(6)普遍参与原则。不论信息系统的安全等级如何,要求信息系统所涉及人员普遍 参与,共同保障信息系统安全。

(7)职责分离原则。职责分离是降低意外或故意滥用系统风险的一种方法。为减小 未经授权的修改、滥用信息或服务的机会,对特定职责或责任领域的管理和执行功能实 施分离。有条件的组织或机构,应执行专职专责。如职责分离比较困难,应附加其他的 控制措施,如行为监视、审计跟踪和管理监督。

(8)审计独立原则。审计独立,才能保证公正。

(9)控制社会影响原则。非涉密信息的完整性、可用性对社会具有相当重大的影响, 同样应针对其风险程度予以保护。

(10)保护资源和效率原则。风险度的观点和适度安全的观点都是安全策略制定中 的具体体现。