Để đảm bảo cho các hệ thống quản lý an toàn và bảo mật thơng tin hoạt động hiệu quả, các nguyên tắc chung được đặt ra bao gồm:
Thứ nhất, giới hạn quyền hạn tối thiểu (Last Privilege) cho người
dùng trong hệ thống thơng tin của tổ chức, doanh nghiệp. Đây là nguyên tắc cơ bản nhất, theo nguyên tắc này, bất kỳ một đối tượng nào cũng chỉ cĩ những quyền hạn nhất định đối với tài nguyên trong hệ thống. Khi thâm nhập vào hệ thống, mỗi đối tượng chỉ được sử dụng một số tài nguyên nhất định.
Thứ hai, cần triển khai mơ hình bảo vệ theo chiều sâu (Defence In
Depth). Nguyên tắc này đảm bảo cho hoạt động của hệ thống quản lý an toàn và bảo mật thơng tin khơng phụ thuộc vào một cơ chế an tồn duy nhất nào cho dù cho chúng rất mạnh, mà trong các hệ thống quản lý thơng tin cần tạo nhiều cơ chế đảm bảo an toàn để chúng tương hỗ lẫn nhau trong quá trình đảm bảo an tồn và bảo mật thơng tin cho hệ thống thơng tin.
Thứ ba, việc kiểm sốt trong hệ thống thơng tin phải được thực hiện
theo cơ chế nút thắt (Choke Point). Việc tạo ra một “cửa khẩu” hẹp và chỉ cho phép các thơng tin đi vào hoặc đi ra từ hệ thống thơng tin của tổ chức, doanh nghiệp bằng một con đường duy nhất. Nguyên tắc này tạo một cơ
chế gia tăng độ an tồn và bảo mật và khả năng kiểm sốt cho hệ thống thơng tin.
Thứ tư, thường xuyên phát hiện và gia cố các điểm nối yếu nhất
(Weakest Link) của hệ thống thơng tin. Đây là nguyên tắc dựa trên luận điểm “Một dây xích có độ bền bằng độ bền tại mắt xích yếu nhất của nĩ”. Trong thực tế, kẻ phá hoại thường tìm những chỗ yếu nhất trong hệ thống để tấn cơng, do đó các hệ thống quản lý an toàn và bảo mật thơng tin cần phải thường xuyên phát hiện và gia cố các điểm yếu hay mắt xích yếu nhất của hệ thống. Thơng thường chúng ta chỉ tập trung quan tâm đến kẻ tấn cơng trên mạng nhiều hơn là để ý đến kẻ tiếp cận trực tiếp vào hệ thống, do đó an toàn vật lý được coi là điểm yếu nhất trong hệ thống thơng tin của tổ chức, doanh nghiệp.
Thứ năm, các giải pháp đảm bảo an toàn và bảo mật thơng tin phải
mang tính tồn cục (Global solutions): các hệ thống an toàn đòi hỏi phải cĩ tính tồn cục của các hệ thống cục bộ. Nếu cĩ một kẻ nào đó có thể bẻ gãy một cơ chế an tồn thì chúng cĩ thể thành cơng bằng cách tấn cơng hệ thống tự do của ai đó và sau đó tấn cơng hệ thống từ nội bộ bên trong.
Cuối cùng là cần đa dạng các biện pháp bảo vệ (Multi-methods). Cần
phải sử dụng nhiều biện pháp bảo vệ khác nhau để đảm bảo an toàn và bảo mật cho thơng tin trong hệ thống thơng tin. Các biện pháp bảo vệ khác nhau một mặt hỗ trợ nhau trong việc bảo vệ, mặt khác, tạo ra một hệ thống bảo vệ dày đặc, nhiều lớp, từ đó tạo ra sự an tồn cao cho hệ thống, nếu khơng, khi kẻ tấn cơng vào được một hệ thống thì chúng cũng dễ dàng tấn cơng vào các hệ thống khác.