5.1.2  信息安全管理體系要求

信息安全問題從信息系統(tǒng)攻擊和防護(hù)角度來看嚴(yán)重不對(duì)稱。從攻擊角度來看，只要攻其一點(diǎn)，相對(duì)來說攻擊成功很容易。但是，從防御角度來看，成功防護(hù)所有攻擊在技術(shù)領(lǐng)域和經(jīng)濟(jì)領(lǐng)域均是不可能實(shí)現(xiàn)的。信息安全保障特征說明，信息安全是動(dòng)態(tài)的、無邊界的。不可能存在一種或多種安全技術(shù)組合能夠成功防御各種攻擊。同時(shí)針對(duì)某些特定攻擊，從需要投入的資源（人、財(cái)、物）衡量要實(shí)現(xiàn)防護(hù)是不可接受。

信息安全管理水平的高低遵循木桶原理：類似于木桶能裝多少水取決于最短的木板。信息安全防護(hù)水平有多高，取決于管理中最薄弱的環(huán)節(jié)。因此，有必要以建立體系的方式實(shí)施信息安全管理。