单靠管理都不可能实现。因此在考虑安全保障体系时,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。统筹规划,分步实施原则:由于政策规定、服务需求的不明朗,环境、时间的变化,安全防护与攻击手段的进步,在一个比较全面的安全体系下,可以根据网络的实际需要,先建立基本的的安全保障体系,保证基本的、必须的安全性。随着今后网络应用和复杂程度的变化,调整或增强安全防护力度,保证整个网络最根本的安全需求。动态发展原则:要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。遵守有关法规:在安全支撑平台设计和设备选型过程中,涉及到密码产品的销售应符合国家有关法律法规的规定,涉及到其他安全产品的销售应具有主管部门的销售许可证。同时安全产品应具有良好升级及售后维护。2.2总体信息安全规划方案总体目标通过建立建设ISMS(信息安全管理体系),达到对安全风险的长期有效的管理,并且对于存在的安全风险/安全需求通过适用于ISMS的PDCA(Plan-Do-Check-Act)模型,输出为可管理的安全风险。解决问题?当前的信息安全经过了一次完整的信息安全评估,并且进行了相应的安全修复后,信息安全风险已经得到了比较有效的管理,但是还是存在部分遗留的风险,以及其它的一些可预见的风险。在这里将会对这些安全问题进行处理。2.2.1信息安全管理体系为了达到对信息安全进行管理,我们可以通过建立ISMS(信息安全管理体系),然后通过向ISMS输入的信息安全要求和期望经过必需的活动和过程产生满足需求和期望信息安全的输出(例如可管理的信息安全)。