信息安全服务基本法则1、谨慎选择厂商和服务内容用户在选择服务商的时候，遇到的困惑之一是服务厂商的服务内容的同质化，市场排名或成本因素往往成了选择的主要标准，这是不理性的

真正重要因素是服务商的安全现状和安全目标的理解和认可程度，并能否针对性地提出合理的服务内容和方案；服务人员的技能考察非常重要，取得安全服务资格的厂商并不一定能具有真正的服务能力，用户方的负责人员和实际服务人员的深入交流一般会提供鉴别的依据；服务商的服务管理能力和信用等也是考察的要点

2、引导与监控安全服务进程在安全服务的实施过程中，需要用户的积极参与

虽然在服务契约签订时，双方已经初步确定了服务的内容和目标，但这些内容和目标往往是抽象的，高素质的服务人员会依此主动发现问题，提供合理的建议，普通服务人员常常不具备这种能力

但无论哪种情况，用户的引导和监控都是必要的，服务商对用户的信息系统的认识程度是有限的，能够介入的范围也很狭窄，用户应当用需求或目标来引导和监控服务的实施，甩手掌柜式的用户会导致安全服务的效力无法发挥和自身能力的停滞

3、善于放大安全服务的效力信息安全服务是一项借用外脑的活动，一般用户更情愿在软硬件系统的购买上投入资金，却对安全服务比较质疑，原因是认为服务既是无形的，又不创造经济效益

其实，用户是可以将安全服务的效力放大的，如果仅把安全服务看作是仅对it部门的服务，那效力就仅限于一个部门，如果为更大的范围服务，就会取得更大的效力，如安全预警

另外创造性的服务也可带来经济上的效益，一个合理的安全建设方案可能会带来实际的成本的节约，一个安全管理的认可，可能会带来企业形象的提升，甚至一项安全增值业务可能会带来直接的收益

以上内容由大学时代综合整理自互联网，实际情况请以官方资料为准。