5.1.2  信息安全管理體系要求

信息安全問題從信息系統(tǒng)攻擊和防護角度來看嚴重不對稱。從攻擊角度來看，只要攻其一點，相對來說攻擊成功很容易。但是，從防御角度來看，成功防護所有攻擊在技術(shù)領(lǐng)域和經(jīng)濟領(lǐng)域均是不可能實現(xiàn)的。信息安全保障特征說明，信息安全是動態(tài)的、無邊界的。不可能存在一種或多種安全技術(shù)組合能夠成功防御各種攻擊。同時針對某些特定攻擊，從需要投入的資源（人、財、物）衡量要實現(xiàn)防護是不可接受。

信息安全管理水平的高低遵循木桶原理：類似于木桶能裝多少水取決于最短的木板。信息安全防護水平有多高，取決于管理中最薄弱的環(huán)節(jié)。因此，有必要以建立體系的方式實施信息安全管理。