声明★★■■◆◆：本文由入驻搜狐公众平台的作者撰写◆★■★★，除搜狐官方账号外，观点仅代表作者本人■★，不代表搜狐立场◆★★■。

　　我们知道，一个信息系统的安全不是仅靠一两种技术或者简单地设置几个防御设施就能实现的■◆，IATF为了我们提供了全方位多层次的信息保障体系的指导思想◆★★，即纵深防御战略思想。通过在各个层次、各个技术框架区域中实施保障机制，才能在最大限度内降低风险，防止攻击，保护信息系统的安全。

　　（3）安全强健性。不同的信息对于组织有不同的价值◆◆，该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每一个信息安全组件设置的安全强健性（即强度和保障），取决于被保护信息的价值以及所遭受的威胁程度■■★◆★。在设计信息安全保障体系时◆★■■■，必须要考虑到信息价值和安全管理成本的平衡。

　　除了纵深防御这个核心思想之外★◆，IATF还提出了其他一些信息安全原则，这些原则对指导我们建立信息安全保障体系都具有非常重大的意义。

　　本汽车QMS标准的目标是在供应链中开发提供持续改进、强调缺陷防御，以及减少变差和浪费的质量管理体系。

　　ISO/TS 16949（第一版）最初由国际汽车推动小组（International Automotive Task Force ，IATF）创建于1999年，旨在协调全球汽车行业供应链中的不同评估与认证体系。其后，因汽车行业增强或ISO 9001修订的需要，创建了其他版本（2002年的第二版和2009年的第三版）。ISO/TS 16949（连同原始设备制造商【本文中简称OEM】和各国家汽车行业协会开发的支持性技术出版物）引入了一套适用于全球汽车制造业的共同产品和过程开发的常见技术和方法。

　　（1）保护多个位置。包括保护网络和基础设施★◆★、区域边界、计算环境等★◆，这一原则提醒我们，仅仅在信息系统的重要敏感设置一些保护装置是不够的，任意一个系统漏洞都有可能导致严重的攻击和破坏后果，所以在信息系统的各个方位布置全面的防御机制，这样才能将风险减至最低。

　　（2）分层防御。如果说上一个原则是横向防御，那么这一原则就是纵向防御，这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制，每一个这样的机制必须对攻击者形成一道屏障★■■★■。而且每一个这样的机制还应包括保护和检测措施，以使攻击者不得不面对被检测到的风险，迫使攻击者由于高昂的攻击代价而放弃攻击行为。

　　此外，IATF提出了三个主要核心要素：人、技术和操作。尽管IATF重点是讨论技术因素，但是它也提出了★◆■◆★★“人”这一要素的重要性★◆◆★，人即管理，管理在信息安全保障体系建设中同样起到了十分关键的作用，可以说技术是安全的基础，管理是安全的灵魂，所以应当在重视安全技术应用的同时，必须加强安全管理。

　　IATF提出的信息保障的核心思想是纵深防御战略（Defense in Depth）。所谓深层防御战略就是采用一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。在纵深防御战略中■◆■★，人◆★、技术和操作是三个主要核心因素★◆，要保障信息及信息系统的安全■■■，三者缺一不可。

　　在准备从ISO/TS 16949★◆◆◆★：2009（第三版）迁移至本汽车QMS标准——IATF 16949过程中■◆★◆，征求了认证机构、审核员、供应商和OEM的反馈意见★■■★◆；IATF 16949：2016（第一版）的创建注销并取代ISO/TS 16949:2009（第三版）。