信息安全法律规范的基本原则

3.2.2　信息安全法律规范的基本原则

1．谁主管谁负责的原则

例如《互联网上网服务营业场所管理条例》第4条规定：

县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批，并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理；

公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理；

工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理，并依法查处无照经营活动；

电信管理等其他有关部门在各自职责范围内，依照本条例和有关法律、行政法规的规定，对互联网上网服务营业场所经营单位分别实施有关监督管理。

2．突出重点的原则

例如《中华人民共和国计算机信息系统安全保护条例》第4条规定：计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

3．预防为主的原则

如对计算机病毒的预防，对非法入侵的防范（使用防火墙）等。

4．安全审计的原则

例如，在《计算机信息系统安全保护等级划分准则》的第4.4.6款中，有关审计的说明如下：

计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。

计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。

对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记号的能力。

对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。

5．风险管理的原则

事物的运动发展过程中都存在风险，它是一种潜在的危险或损害。风险具有客观可能性、偶然性（风险损害的发生有不确定性）、可测性（有规律，风险发生可以用概率加以测度）和可规避性（加强认识，积极防范，可降低风险损害发生的概率）。

信息安全工作的风险主要来自信息系统中存在的脆弱点（漏洞和缺陷），这种脆弱点可能存在于计算机系统和网络中或者管理过程中。脆弱点可以利用它的技术难度和级别来表征。脆弱点也很容易受到威胁或攻击。

解决问题的最好办法是进行风险管理。风险管理又名危机管理，是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。

对于信息系统的安全，风险管理主要要做的是：

（1）主动寻找系统的脆弱点，识别出威胁，采取有效的防范措施，化解风险于萌芽状态。

（2）当威胁出现后或攻击成功时，对系统所遭受的损失及时进行评估，制定防范措施，避免风险的再次出现。

（3）研究制定风险应变策略，从容应对各种可能的风险的发生。