信息安全总体方针(3)

(五)持续改进原则

安全管理是一种动态反馈过程，贯穿整个安全管理的生存周期，随着安全需求和系统脆弱性的时空分布变化，威胁程度的提高，系统环境的变化以及对系统安全认识的深化等，应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级，维护和持续改进信息安全管理体系的有效性；

(六)依法管理原则

信息安全管理工作主要体现为管理行为，应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理，应由授权者适时发布准确一致的有关信息，避免带来不良的社会影响；

(七)分权和授权原则

对特定职能或责任领域的管理功能实施分离、独立审计等实行分权，避免权力过分集中，带来隐患，以减少未授权的修改或滥用系统资源的机会。任何实体（如用户、管理员、进程、应用或系统）仅享有该实体需要完成其任务所必须的最小权限，不应享有任何多余权限；

(八)选用成熟技术原则

成熟的技术具有较好的可靠性和稳定性，采用新技术时要重视其成熟度，并应首先局部试点然后逐步推广，以减少或避免可能出现的失误；

(九)分等级保护原则

按等级划分标准确定信息系统的安全保护等级，实行分等级保护；对多个子系统构成的大型信息系统，确定系统的基本安全保护等级，并根据实际安全需求，分别确定各子系统的安全保护等级，实行多级安全保护；

(十)管理与技术并重原则

3