1.誰主管誰負責的原則
例如,《互聯網上網服務營業場所管理條例》第四條規定:
縣級以上人民政府文化行政部門負責互聯網上網服務營業場所經營單位的設立審批,並負責對依法設立的互聯網上網服務營業場所經營單位的經營活動進行監督管理;公安機關負責互聯網上網服務營業場所經營單位的信息網絡安全、治安和消防安全的監督管理;工商行政管理部門負責互聯網上網服務營業場所經營單位的登記和營業執照管理,依法查處無照經營活動;電信管理等其他有關部門在各自的職責範圍內,依照本條例和有關法律、行政法規的規定,分別對互聯網上網服務營業場所經營單位實施相關監督管理。
2.突出重點的原則
例如,《中華人民共和國計算機信息系統安全保護條例》第四條規定,計算機信息系統安全保護的重點是維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。
3.預防為主的原則
如防止計算機病毒,防止非法入侵(使用防火墻)等等。
4.安全審核的原則
例如,在《計算機信息系統安全保護分級標準》第4.4.6條中,關於審計的描述如下:
計算機信息系統的可信計算基礎可以創建和維護對阿富汗的審計訪問分數,使保護對象貶值。計算機信息系統的可信計算基礎可以記錄以下事件:使用身份認證機制;將對象引入用戶地址空間(比如打開壹個文件,初始化壹個程序)_刪除對象;操作員、系統管理員或/和系統安全經理執行的操作,以及與系統安全相關的其他事件。對於每個事件,審核記錄包括:事件的日期和時間、用戶、事件類型以及事件是否成功。對於身份驗證事件,審計記錄包含請求的來源(例如,終端標識符);對於對象被引入用戶地址空間的事件和對象被刪除的事件,審計記錄包括對象和對象的安全級別。此外,計算機信息系統的可信計算基礎具有審計和改變可讀輸出令牌的能力。
對於計算機信息系統可信計算基礎無法獨立解決的審計事件,審計機制提供了審計記錄接口,授權主體可以調用該接口。這些審計記錄不同於計算機信息系統可信計算基礎獨立解決的審計記錄。
計算機信息系統的可信計算基礎可以審計在使用隱蔽存儲通道時可能使用的事件。
5.風險管理原則
事物的運動和發展都有風險,是潛在的危險或損害。風險有客觀可能性、偶然性(風險損害的發生是不確定的)、可測性(規律性,風險的發生可以用概率來衡量)和可避免性(加強認識,積極防範,可以降低風險損害的概率)。
信息安全的風險主要來自於信息系統中的漏洞(漏洞和缺陷),可能存在於計算機系統和網絡中,也可能存在於管理過程中。脆弱性可以通過其技術難度和水平來表征。脆弱點也容易受到威脅或攻擊。
解決問題的最好方法是風險管理。風險管理又稱危機管理,是指在具有壹定風險的環境下,如何將風險降到最低的管理過程。
對於信息系統的安全,風險管理的主要任務是:
(1)積極尋找系統的薄弱點,識別威脅,采取有效的防範措施,將風險化解在萌芽狀態。
(2)當威脅出現或攻擊成功時,及時評估系統遭受的損失,制定防範措施,避免風險的再次發生。
(3)研究制定風險應急策略,冷靜應對各種可能的風險。
法律依據:
互聯網上網服務營業場所管理條例
第四條縣級以上人民政府文化行政部門負責互聯網上網服務營業場所經營單位的設立審批,並負責對依法設立的互聯網上網服務營業場所經營單位的經營活動進行監督管理;公安機關負責互聯網上網服務營業場所經營單位的信息網絡安全、治安和消防安全的監督管理;工商行政管理部門負責互聯網上網服務營業場所經營單位的登記和營業執照管理,依法查處無照經營活動;電信管理等其他有關部門在各自的職責範圍內,依照本條例和有關法律、行政法規的規定,分別對互聯網上網服務營業場所經營單位實施相關監督管理。
中華人民共和國計算機信息系統安全保護條例
第四條計算機信息系統安全保護重點維護國家事務、經濟建設、國防建設、前沿科技等重要領域的計算機信息系統安全。