Član 3

Prilikom planiranja i primene mera zaštite IKT sistema treba se rukovoditi načelima: 1) načelo upravljanja rizikom – izbor i nivo primene mera se zasniva na proceni rizika, potrebi za prevencijom rizika i otklanjanja posledica rizika koji se ostvario, uključujući sve vrste vanrednih okolnosti; 2) načelo sveobuhvatne zaštite – mere se primenjuju na svim organizacionim, fizičkim i tehničko-tehnološkim nivoima, kao i tokom celokupnog životnog ciklusa IKT sistema; 3) načelo stručnosti i dobre prakse – mere se primenjuju u skladu sa stručnim i naučnim saznanjima i iskustvima u oblasti informacione bezbednosti; 4) načelo svesti i osposobljenosti – sva lica koja svojim postupcima efektivno ili potencijalno utiču na informacionu bezbednost treba da budu svesna rizika i poseduju odgovarajuća znanja i veštine; 5) načelo kontinuiranog poboljšanja – mere zaštite i upravljanja informacionom bezbednošću treba redovno procenjivati i unapređivati kako bi se osigurala njihova efikasnost i prilagodljivost novim pretnjama i tehnološkim promenama; 6) načelo ravnopravnosti i nediskriminacije – mere zaštite IKT sistema moraju se sprovoditi na način koji osigurava jednak tretman svih korisnika, bez diskriminacije po bilo kom osnovu, u skladu sa zakonom.