【正文】 確定控制目標(biāo)和選擇控制措施 控制目標(biāo)的確定和控制措施的選擇原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。 國(guó)家信息安全標(biāo)準(zhǔn)體系 GB178951999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 ? 在我國(guó)眾多的信息安全標(biāo)準(zhǔn)中，公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn) GB178951999《 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 》 被認(rèn)為我國(guó)信息安全標(biāo)準(zhǔn)的奠基石。 ? 第三級(jí) 安全標(biāo)記保護(hù)級(jí) ：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基具有系統(tǒng)審計(jì)保護(hù)級(jí)所有功能。 信息安全法律法規(guī)及道德規(guī)范 信息犯罪 ? 信息資源是當(dāng)今社會(huì)的重要資產(chǎn)，圍繞信息資源的犯罪已成為影響社會(huì)安定的重要因素。 ? “ 網(wǎng)絡(luò)犯罪 就是行為主體以計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)為犯罪工具或攻擊對(duì)象，故意實(shí)施的危害計(jì)算機(jī)網(wǎng)絡(luò)安全的，觸犯有關(guān)法律規(guī)范的行為。 ? 信息濫用 這類犯罪是指由使用者違規(guī)操作，在信息系統(tǒng)中輸入或者傳播非法數(shù)據(jù)信息，毀滅、篡改、取代、涂改數(shù)據(jù)庫(kù)中儲(chǔ)存的信息，給他人造成損害的犯罪行為。 ? 妨害他人人身、財(cái)產(chǎn)權(quán)利 的信息犯罪 ? 犯罪主體利用信息網(wǎng)絡(luò)侮辱誹謗他人或者騙取他人財(cái)產(chǎn)（包含信息財(cái)產(chǎn)）。 ? 隱蔽性強(qiáng) 犯罪分子可能只需要向計(jì)算機(jī)輸入錯(cuò)誤指令或簡(jiǎn)單篡改軟件程序，作案時(shí)間短，甚至可以設(shè)計(jì)犯罪程序在一段時(shí)間后才運(yùn)行發(fā)作，致使一般人很難覺(jué)察到。 ? 整體原則 是指一切信息活動(dòng)必須服從于社會(huì)國(guó)家等團(tuán)體的整體利益。信息交流是雙向的，主體間的關(guān)系是交互式的，權(quán)利和義務(wù)是相輔相成的。 ? 一方面法律法規(guī)是 震懾和懲罰信息犯罪 的重要工具， ? 另一方面法律法規(guī)也是 合法實(shí)施各項(xiàng)信息安全技術(shù)的理論依據(jù) ? 1973 年瑞典 《 瑞典國(guó)家數(shù)據(jù)保護(hù)法 》 ? 美國(guó) 《 信息自由法 》 、 《 計(jì)算機(jī)欺詐和濫用法 》 、 《 計(jì)算機(jī)安全法 》 、 《 國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法 》 、 《 通信凈化法 》 、《 個(gè)人隱私法 》 、 《 兒童網(wǎng)上保護(hù)法 》 、 《 愛(ài)國(guó)者法案 》 、《 聯(lián)邦信息安全管理法案 》 、 《 關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識(shí)、優(yōu)先級(jí)和保護(hù) 》 以及 《 涉密?chē)?guó)家安全信息 》 等法律法規(guī) ? 德國(guó)的 《 信息和通訊服務(wù)規(guī)范法 》 、法國(guó)的 《 互聯(lián)網(wǎng)絡(luò)憲章 》 、英國(guó)的 《 三 R互聯(lián)網(wǎng)絡(luò)安全規(guī)則 》 、俄羅斯的 《 聯(lián)邦信息、信息化和信息保護(hù)法 》 、日本的 《 電訊事業(yè)法 》 等， ? 歐洲理事會(huì)也出臺(tái)了 《 網(wǎng)絡(luò)犯罪公約 》 。 ? 我國(guó)的信息安全法律法規(guī)可分為四類： ? 通用性法律法規(guī) ? 懲戒信息犯罪的法律 ? 針對(duì)信息網(wǎng)絡(luò)安全的特別規(guī)定 ? 規(guī)范信息安全技術(shù)及管理方面的規(guī)定 通用性法律法規(guī) ? 如憲法、國(guó)家安全法、國(guó)家秘密法等，這些法律沒(méi)有針對(duì)信息安全的規(guī)定，但約束的對(duì)象包括危害信息安全行為。第十一條規(guī)定“國(guó)家安全機(jī)關(guān)為維護(hù)國(guó)家安全的需要，可以查驗(yàn)組織和個(gè)人的電子通信工具、器材等設(shè)備、設(shè)施”；第二十一條規(guī)定“任何個(gè)人和組織都不得非法持有、使用竊聽(tīng)、竊照等專用間諜器材”。侵犯商業(yè)秘密行為包括： ? 以盜竊、利誘、脅迫或者其他不正當(dāng)手段獲取權(quán)利人的商業(yè)秘密的； ? 披露、使用或者允許他人使用以前項(xiàng)手段獲取的權(quán)利人的商業(yè)秘密的； ? 違反約定或者違反權(quán)利人有關(guān)保守商業(yè)秘密的要求，披露、使用或者允許他人使用其所掌握的商業(yè)秘密的。 ? 商用密碼管理?xiàng)l例 的第三條規(guī)定“商用密碼技術(shù)屬于國(guó)家秘密?！? 信息安全法律法規(guī)體系組成 ? 我國(guó)信息安全法律法規(guī)體系主要由六個(gè)部分組成 ?法律 ?行政法規(guī) ?部門(mén)規(guī)章和規(guī)范性文件 ?地方性法規(guī) ?地方政府規(guī)章 ?司法解釋 ?！钡谄邨l規(guī)定“商用密碼產(chǎn)品由國(guó)家密碼管理機(jī)構(gòu)指定的單位生產(chǎn)。 ? 這些法律規(guī)定的 立法目的是保護(hù)信息系統(tǒng)、網(wǎng)絡(luò)以及軟件等信息資源 ，從法律上明確哪些行為構(gòu)成違反法律法規(guī)，并可能被追究相關(guān)民事或刑事責(zé)任。這類法律中的有關(guān)法律條文可以作為規(guī)范和懲罰網(wǎng)絡(luò)犯罪的法律規(guī)定。除因國(guó)家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個(gè)人不得以任何理由侵犯公民的通信自由和通信秘密。 ? 1995年 2月，頒布的 《 中華人民共和國(guó)人民警察法 》 明確了公安機(jī)關(guān)具有監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)安全的職責(zé)。 《 文明上網(wǎng)自律公約 》 ? 2022年 4月 19日發(fā)布的 《 文明上網(wǎng)自律公約 》 ? 自覺(jué)遵紀(jì)守法，倡導(dǎo)社會(huì)公德，促進(jìn)綠色網(wǎng)絡(luò)建設(shè)； ? 提倡先進(jìn)文化，摒棄消極頹廢，促進(jìn)網(wǎng)絡(luò)文明健康； ? 提倡自主創(chuàng)新，摒棄盜版剽竊，促進(jìn)網(wǎng)絡(luò)應(yīng)用繁榮； ? 提倡互相尊重，摒棄造謠誹謗，促進(jìn)網(wǎng)絡(luò)和諧共處； ? 提倡誠(chéng)實(shí)守信，摒棄弄虛作假，促進(jìn)網(wǎng)絡(luò)安全可信； ? 提倡社會(huì)關(guān)愛(ài)，摒棄低俗沉迷，促進(jìn)少年健康成長(zhǎng)； ? 提倡公平競(jìng)爭(zhēng)，摒棄爾虞我詐，促進(jìn)網(wǎng)絡(luò)百花齊放； ? 提倡人人受益，消除數(shù)字鴻溝，促進(jìn)信息資源共享。 ? 兼容原則 是指社會(huì)的各主體間的信息活動(dòng)方式應(yīng)符合某種公認(rèn)的規(guī)范和標(biāo)準(zhǔn)，個(gè)人的具體行為應(yīng)該被他人及整個(gè)社會(huì)所接受，最終實(shí)現(xiàn)信息活動(dòng)的規(guī)范化和信息交流的無(wú)障礙化。 ? 犯罪后果嚴(yán)重 信息安全專家普遍認(rèn)為，信息犯罪危害性的大小，取決于信息資源的社會(huì)作用，作用越大，信息犯罪的后果越嚴(yán)重。 信息犯罪的顯著特點(diǎn) ? 智能化 以計(jì)算機(jī)及網(wǎng)絡(luò)犯罪為例，犯罪者大多是掌握計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的專業(yè)人才。 ? 妨害社會(huì)秩序和市場(chǎng)秩序 的信息犯罪 ? 犯罪主體利用信息網(wǎng)絡(luò)從事虛假宣傳、非法經(jīng)營(yíng)及其它非法活動(dòng)，對(duì)社會(huì)秩序和正規(guī)的市場(chǎng)秩序造成惡劣影響。 ? 以信息資源為犯罪對(duì)象的犯罪常見(jiàn)的有： ? 信息破壞 犯罪主體出于某種動(dòng)機(jī)，利用非法手段進(jìn)入未授權(quán)的系統(tǒng)或?qū)λ说男畔①Y源進(jìn)行非法控制，具體行為表現(xiàn)為故意利用損壞、刪除、修改、增加、干擾等手段，對(duì)信息系統(tǒng)內(nèi)部的硬件、軟件以及傳輸?shù)男畔⑦M(jìn)行破壞，從而導(dǎo)致網(wǎng)絡(luò)信息丟失、篡改、更換等，嚴(yán)重的可引起系統(tǒng)或網(wǎng)絡(luò)的癱瘓。 ? 目前多數(shù)的信息犯罪均屬于 計(jì)算機(jī)及網(wǎng)絡(luò)犯罪 。 ? 第五級(jí) 訪問(wèn)驗(yàn)證保護(hù)級(jí) ：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基滿足訪問(wèn)監(jiān)控器需求。 五個(gè)安全等級(jí) ? 第一級(jí) 用戶自主保護(hù)級(jí) ：本級(jí)的計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基通過(guò)隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。 中國(guó)的有關(guān)信息安全標(biāo)準(zhǔn) ? 1985年發(fā)布了第一個(gè)標(biāo)準(zhǔn) GB4943“ 信息技術(shù)設(shè)備的安全 ”，并于 1994年發(fā)布了第一批信息安全技術(shù)標(biāo)準(zhǔn)。 ? 步驟三、 進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。