1.預防為主的原則
在手段上,積極預防的方式和過程壹般比消極後果的補救要簡單和容易得多;另壹方面,從後果來看,各種信息和數據壹旦被破壞或泄露,往往會造成不可挽回的損失。網絡信息安全的關鍵在於防範。“信息安全問題應該重在‘預防’,然後才是‘治療’。增強用戶的防範意識是降低網絡安全風險極其關鍵的壹環。"
有專家認為,對信息系統進行安全風險評估,預防特殊時期尚未發生的安全事故,可以減少災害。相應地,網絡信息安全法也應加強防範措施,如防病毒、防非法入侵等。同樣,對於機密信息,尤其是國家機密,首要要求是提前主動防範。中國《保守國家秘密法》第29條規定,“機關、單位應當對工作人員進行保密教育,定期檢查保密工作”,就是這壹原則的體現。
2.突出重點的原則
在信息安全法中,凡是涉及國家安全和建設關鍵領域的信息,或者對經濟發展和社會進步有重要影響的信息,都應當有明確、具體、有效的法律規範來保障。《中華人民共和國計算機信息系統安全保護條例》第四條規定,計算機信息系統安全保護的重點是維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。
在信息安全保密工作中,也要註重標準化。比如國家秘密等級的劃分,絕密是三個秘密等級中的關鍵。如果壹視同仁,會把國家核心秘密和壹般秘密混為壹談,影響和威脅核心秘密的安全;就涉密分布區域而言,涉密集中的區域和部門是重點;就信息的潛在危險而言,國家事務、經濟建設、國防建設、前沿科技等重要領域的信息無疑是重點。
3.主管部門與業務部門相結合的原則。
由於涉及領域廣泛,信息安全法顯示了其兼容性和綜合性。通常情況下,不同領域的管理部門壹般負責各自對應領域的信息安全管理,並對管理不善造成的後果承擔法律責任。網絡信息安全法在很多方面體現了主管部門與業務部門相結合的原則。
在信息安全方面,國家機密分布在國家的各個領域,比如國家機關和單位業務部門涉及的國家安全和利益,很多與經濟建設有關的事項都有可能成為國家機密。因此,保密工作與各業務部門的業務工作密切相關,沒有業務部門的配合,保密工作很難落實。所以要把保密主管部門和業務部門結合起來。實踐證明,這是做好保密工作的根本途徑,因而成為壹條重要原則。
4.依法管理的原則
“三分技術七分管理”,這是在其他領域總結出來的實踐經驗和原則,同樣適用於信息安全領域。對於網絡信息安全,不能只強調技術,也不能依靠網絡本身的力量,應該加強管理。從早期的加密技術、數據備份和反病毒到最近的網絡環境下的防火墻、入侵檢測和身份認證,信息技術的發展可謂迅猛。但事實上,很多復雜多變的安全威脅和隱患,僅靠技術是解決不了的。
因為保密是壹個龐大的系統工程,涉及面廣,壹旦泄露,後果很大,所以依法管理尤為重要。所謂依法管理,就是要求各部門和相關工作人員嚴格按照法定程序和內容管理保密信息和開展其他保密工作,加大各部門之間的協調力度,使保密工作納入法治軌道。
5.維護國家安全和利益的原則
國家安全是確保政治穩定和社會穩定的基本前提,關系到國家的生死存亡,是維護全國各族人民利益的根本保證。冷戰結束後,國際形勢逐漸緩和,但境外組織竊取重要情報的活動日益增多,不僅從原來的政治、軍事領域擴展到經濟、科技、文化等領域,而且竊取機密的手段也越來越多樣,嚴重威脅著我國的國家安全和利益。《信息安全和保密法》特別強調維護國家安全和利益的原則。這是保密工作的根本出發點和歸宿,是國家意誌在保密法中的具體體現,也是信息安全保密法的精髓所在。這壹原則不僅是保密工作的重要指導思想,也是信息安全保密法的首要基本原則。