1.誰主管誰負責的原則
例如《互聯網上網服務營業場所管理條例》第4條規定:
縣級以上人民政府文化行政部門負責互聯網上網服務營業場所經營單位的設立審批,並負責對依法設立的互聯網上網服務營業場所經營單位經營活動的監督管理;公安機關負責對互聯網上網服務營業場所經營單位的信息網絡安全、治安及消防安全的監督管理;工商行政管理部門負責對互聯網上網服務營業場所經營單位登記註冊和營業執照的管理,並依法查處無照經營活動;電信管理等其他有關部門在各自職責範圍內,依照本條例和有關法律、行政法規的規定,對互聯網上網服務營業場所經營單位分別實施有關監督管理。
2.突出重點的原則
例如《中華人民***和國計算機信息系統安全保護條例》第4條規定:計算機信息系統的安全保護工作,重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。
3.預防為主的原則
如對計算機病毒的預防,對非法入侵的防範(使用防火墻)等。
4.安全審計的原則
例如,在《計算機信息系統安全保護等級劃分準則》的第4.4.6款中,有關審計的說明如下:
計算機信息系統可信計算基能創建和維護貶保護客體的訪阿審計投際記悶分。計算機信息系統可信計算基能記錄下述事件:使用身份鑒別機制;將客體引入用戶地址空間(例如:打開文件、程序初始化)_刪除客體;由操作員、系統管理員或(和)系統安全管理員實施的動作,以及其他與系統安全有關的事件對於每壹事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑒別事件,審計記錄包含請求的來源(例如:終端標識符);對於客體引入用戶地址空間的事件及客體刪除事件,審計記錄包含客體及客體的安全級別。此外,計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。
對不能由計算機信息系統可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算基獨立分辨的審計記錄。
計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。
5.風險管理的原則
事物的運動發展過程中都存在風險,它是壹種潛在的危險或損害。風險具有客觀可能性、偶然性(風險損害的發生有不確定性)、可測性(有規律,風險發生可以用概率加以測度)和可規避性(加強認識,積極防範,可降低風險損害發生的概率)。
信息安全工作的風險主要來自信息系統中存在的脆弱點(漏洞和缺陷),這種脆弱點可能存在於計算機系統和網絡中或者管理過程中。脆弱點可以利用它的技術難度和級別來表征。脆弱點也很容易受到威脅或攻擊。
解決問題的最好辦法是進行風險管理。風險管理又名危機管理,是指如何在壹個肯定有風險的環境裏把風險減至最低的管理過程。
對於信息系統的安全,風險管理主要要做的是:
(1)主動尋找系統的脆弱點,識別出威脅,采取有效的防範措施,化解風險於萌芽狀態。
(2)當威脅出現後或攻擊成功時,對系統所遭受的損失及時進行評估,制定防範措施,避免風險的再次出現.
(3)研究制定風險應變策略,從容應對各種可能的風險的發生。
法律依據:
《互聯網上網服務營業場所管理條例》
第四條 縣級以上人民政府文化行政部門負責互聯網上網服務營業場所經營單位的設立審批,並負責對依法設立的互聯網上網服務營業場所經營單位經營活動的監督管理;公安機關負責對互聯網上網服務營業場所經營單位的信息網絡安全、治安及消防安全的監督管理;工商行政管理部門負責對互聯網上網服務營業場所經營單位登記註冊和營業執照的管理,並依法查處無照經營活動;電信管理等其他有關部門在各自職責範圍內,依照本條例和有關法律、行政法規的規定,對互聯網上網服務營業場所經營單位分別實施有關監督管理。
《中華人民***和國計算機信息系統安全保護條例》
第四條 計算機信息系統的安全保護工作,重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。