對信息系統(tǒng)安全管理的評估應(yīng)堅(jiān)持科學(xué)性、有效性、公正性等基本原則，即評估的原理、方法、流程、具體要求是科學(xué)的，正確的；評估的方法、流程等是可操作的，成本和效率等方面可接受；評估結(jié)果是客觀公正的，評估機(jī)構(gòu)是中立權(quán)威的。

還應(yīng)遵循以下原則：

—— 有效性原則：根據(jù)充分考慮信息系統(tǒng)功能，信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險(xiǎn)，評估整個(gè)安全管理體系的有效性；

—— 體系化原則：根據(jù)的信息系統(tǒng)安全管理原則，針對安全管理體系基本要素，評估安全管理體系是否完整。

—— 標(biāo)準(zhǔn)化原則：根據(jù)各保護(hù)等級的安全管理目標(biāo)，重點(diǎn)檢查、評估安全管理標(biāo)準(zhǔn)化工作情況；識別和理解信息安全保障相互關(guān)聯(lián)的層面和過程，采用管理和技術(shù)結(jié)合的方法，提高實(shí)現(xiàn)安全保障目標(biāo)的有效性和效率；

—— 一致性原則：根據(jù)各保護(hù)等級系統(tǒng)的安全管理應(yīng)貫穿整個(gè)信息系統(tǒng)的生存周期，評估時(shí)重點(diǎn)檢查信息系統(tǒng)設(shè)計(jì)、開發(fā)、部署、運(yùn)維各個(gè)階段的安全管理措施是否都到位；

—— 風(fēng)險(xiǎn)可控性原則：信息安全管理工作是信息系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ)，安全管理的安全性直接決定了信息與信息系統(tǒng)的安全性，在評估管理體系時(shí)，應(yīng)注意相關(guān)安全管理的可靠性、可控性，確保管理行為和風(fēng)險(xiǎn)得到控制；

—— 安全管理保證原則：根據(jù)各保護(hù)等級安全管理?xiàng)l款，要求評估時(shí)應(yīng)根據(jù)信息系統(tǒng)安全管理工作的保證情況，實(shí)事求是地根據(jù)實(shí)際保證證據(jù)決定是否達(dá)到相應(yīng)保護(hù)等級安全管理要求的標(biāo)準(zhǔn)；

—— 客觀性和公正性原則：評估工作應(yīng)擺脫自身偏見，避免主觀臆斷，堅(jiān)持實(shí)事求是，按照評估工作相關(guān)各方相互認(rèn)可的評估計(jì)劃和方案，基于明確定義的評估要求，開展評估工作，給出可靠結(jié)論。