对信息系统安全管理的评估应坚持科学性、有效性、公正性等基本原则,即评估的原理、方法、流程、具体要求是科学的、正确的;评估的方法、流程等是可操作的,成本和效率等方面可接受;评估结果是客观公正的,评估机构是中立权威的。除此以外,还应遵循以下原则。
1.有效性原则
根据GB/T 20269—2006充分考虑信息系统功能、信息资产的重要性、可能受到的威胁及面临的风险,评估整个安全管理体系的有效性。
2.体系化原则
根据GB/T 20269—2006中4.2的信息系统安全管理原则,针对安全管理体系基本要素,评估安全管理体系是否完整。比较完整的安全管理体系应基本涵盖GB/T 20269—2006中4.1的各项。
3.标准化原则
根据GB/T 20269—2006各保护等级的安全管理目标,重点检查、评估安全管理标准化工作情况;识别和理解信息安全保障相互关联的层面和过程,采用管理和技术结合的方法,提高实现安全保障目标的有效性和效率。
4.一致性原则(www.xing528.com)
根据GB/T 20269—2006各保护等级系统的安全管理应贯穿整个信息系统的生存周期,评估时重点检查信息系统设计、开发、部署、运维各个阶段的安全管理措施是否都到位。
5.风险可控性原则
信息安全管理工作是信息系统安全稳定运行的基础,安全管理的安全性直接决定了信息与信息系统的安全性,在评估管理体系时,应注意相关安全管理的可靠性、可控性,确保管理行为和风险得到控制。
6.安全管理保证原则
根据GB/T 20269—2006各保护等级安全管理条款,要求评估时应根据信息系统安全管理工作的保证情况,实事求是地根据实际保证证据决定是否达到相应保护等级安全管理要求的标准。
7.客观性和公正性原则
评估工作应摆脱自身偏见,避免主观臆断,坚持实事求是,按照评估工作相关各方相互认可的评估计划和方案,基于明确定义的评估要求,开展评估工作,给出可靠结论。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
