信息安全管理体系要求

5.1.2  信息安全管理体系要求

信息安全问题从信息系统攻击和防护角度来看严重不对称。从攻击角度来看，只要攻其一点，相对来说攻击成功很容易。但是，从防御角度来看，成功防护所有攻击在技术领域和经济领域均是不可能实现的。信息安全保障特征说明，信息安全是动态的、无边界的。不可能存在一种或多种安全技术组合能够成功防御各种攻击。同时针对某些特定攻击，从需要投入的资源（人、财、物）衡量要实现防护是不可接受。

信息安全管理水平的高低遵循木桶原理：类似于木桶能装多少水取决于最短的木板。信息安全防护水平有多高，取决于管理中最薄弱的环节。因此，有必要以建立体系的方式实施信息安全管理。