5.1.2  信息安全管理體系要求

信息安全問題從信息系統攻擊和防護角度來看嚴重不對稱。從攻擊角度來看，只要攻其一點，相對來說攻擊成功很容易。但是，從防御角度來看，成功防護所有攻擊在技術領域和經濟領域均是不可能實現的。信息安全保障特征說明，信息安全是動態的、無邊界的。不可能存在一種或多種安全技術組合能夠成功防御各種攻擊。同時針對某些特定攻擊，從需要投入的資源（人、財、物）衡量要實現防護是不可接受。

信息安全管理水平的高低遵循木桶原理：類似于木桶能裝多少水取決于最短的木板。信息安全防護水平有多高，取決于管理中最薄弱的環節。因此，有必要以建立體系的方式實施信息安全管理。