【正文】 確定控制目標和選擇控制措施 控制目標的確定和控制措施的選擇原則是費用不超過風險所造成的損失。 國家信息安全標準體系 GB178951999 計算機信息系統(tǒng)安全保護等級劃分準則 ? 在我國眾多的信息安全標準中，公安部主持制定、國家質量技術監(jiān)督局發(fā)布的中華人民共和國國家標準 GB178951999《 計算機信息系統(tǒng)安全保護等級劃分準則 》 被認為我國信息安全標準的奠基石。 ? 第三級 安全標記保護級 ：本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護級所有功能。 信息安全法律法規(guī)及道德規(guī)范 信息犯罪 ? 信息資源是當今社會的重要資產(chǎn)，圍繞信息資源的犯罪已成為影響社會安定的重要因素。 ? “ 網(wǎng)絡犯罪 就是行為主體以計算機或計算機網(wǎng)絡為犯罪工具或攻擊對象，故意實施的危害計算機網(wǎng)絡安全的，觸犯有關法律規(guī)范的行為。 ? 信息濫用 這類犯罪是指由使用者違規(guī)操作，在信息系統(tǒng)中輸入或者傳播非法數(shù)據(jù)信息，毀滅、篡改、取代、涂改數(shù)據(jù)庫中儲存的信息，給他人造成損害的犯罪行為。 ? 妨害他人人身、財產(chǎn)權利 的信息犯罪 ? 犯罪主體利用信息網(wǎng)絡侮辱誹謗他人或者騙取他人財產(chǎn)（包含信息財產(chǎn)）。 ? 隱蔽性強 犯罪分子可能只需要向計算機輸入錯誤指令或簡單篡改軟件程序，作案時間短，甚至可以設計犯罪程序在一段時間后才運行發(fā)作，致使一般人很難覺察到。 ? 整體原則 是指一切信息活動必須服從于社會國家等團體的整體利益。信息交流是雙向的，主體間的關系是交互式的，權利和義務是相輔相成的。 ? 一方面法律法規(guī)是 震懾和懲罰信息犯罪 的重要工具， ? 另一方面法律法規(guī)也是 合法實施各項信息安全技術的理論依據(jù) ? 1973 年瑞典 《 瑞典國家數(shù)據(jù)保護法 》 ? 美國 《 信息自由法 》 、 《 計算機欺詐和濫用法 》 、 《 計算機安全法 》 、 《 國家信息基礎設施保護法 》 、 《 通信凈化法 》 、《 個人隱私法 》 、 《 兒童網(wǎng)上保護法 》 、 《 愛國者法案 》 、《 聯(lián)邦信息安全管理法案 》 、 《 關鍵基礎設施標識、優(yōu)先級和保護 》 以及 《 涉密國家安全信息 》 等法律法規(guī) ? 德國的 《 信息和通訊服務規(guī)范法 》 、法國的 《 互聯(lián)網(wǎng)絡憲章 》 、英國的 《 三 R互聯(lián)網(wǎng)絡安全規(guī)則 》 、俄羅斯的 《 聯(lián)邦信息、信息化和信息保護法 》 、日本的 《 電訊事業(yè)法 》 等， ? 歐洲理事會也出臺了 《 網(wǎng)絡犯罪公約 》 。 ? 我國的信息安全法律法規(guī)可分為四類： ? 通用性法律法規(guī) ? 懲戒信息犯罪的法律 ? 針對信息網(wǎng)絡安全的特別規(guī)定 ? 規(guī)范信息安全技術及管理方面的規(guī)定 通用性法律法規(guī) ? 如憲法、國家安全法、國家秘密法等，這些法律沒有針對信息安全的規(guī)定，但約束的對象包括危害信息安全行為。第十一條規(guī)定“國家安全機關為維護國家安全的需要，可以查驗組織和個人的電子通信工具、器材等設備、設施”；第二十一條規(guī)定“任何個人和組織都不得非法持有、使用竊聽、竊照等專用間諜器材”。侵犯商業(yè)秘密行為包括： ? 以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業(yè)秘密的； ? 披露、使用或者允許他人使用以前項手段獲取的權利人的商業(yè)秘密的； ? 違反約定或者違反權利人有關保守商業(yè)秘密的要求，披露、使用或者允許他人使用其所掌握的商業(yè)秘密的。 ? 商用密碼管理條例 的第三條規(guī)定“商用密碼技術屬于國家秘密?！? 信息安全法律法規(guī)體系組成 ? 我國信息安全法律法規(guī)體系主要由六個部分組成 ?法律 ?行政法規(guī) ?部門規(guī)章和規(guī)范性文件 ?地方性法規(guī) ?地方政府規(guī)章 ?司法解釋 ?！钡谄邨l規(guī)定“商用密碼產(chǎn)品由國家密碼管理機構指定的單位生產(chǎn)。 ? 這些法律規(guī)定的 立法目的是保護信息系統(tǒng)、網(wǎng)絡以及軟件等信息資源 ，從法律上明確哪些行為構成違反法律法規(guī)，并可能被追究相關民事或刑事責任。這類法律中的有關法律條文可以作為規(guī)范和懲罰網(wǎng)絡犯罪的法律規(guī)定。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規(guī)定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。 ? 1995年 2月，頒布的 《 中華人民共和國人民警察法 》 明確了公安機關具有監(jiān)督管理計算機信息系統(tǒng)安全的職責。 《 文明上網(wǎng)自律公約 》 ? 2022年 4月 19日發(fā)布的 《 文明上網(wǎng)自律公約 》 ? 自覺遵紀守法，倡導社會公德，促進綠色網(wǎng)絡建設； ? 提倡先進文化，摒棄消極頹廢，促進網(wǎng)絡文明健康； ? 提倡自主創(chuàng)新，摒棄盜版剽竊，促進網(wǎng)絡應用繁榮； ? 提倡互相尊重，摒棄造謠誹謗，促進網(wǎng)絡和諧共處； ? 提倡誠實守信，摒棄弄虛作假，促進網(wǎng)絡安全可信； ? 提倡社會關愛，摒棄低俗沉迷，促進少年健康成長； ? 提倡公平競爭，摒棄爾虞我詐，促進網(wǎng)絡百花齊放； ? 提倡人人受益，消除數(shù)字鴻溝，促進信息資源共享。 ? 兼容原則 是指社會的各主體間的信息活動方式應符合某種公認的規(guī)范和標準，個人的具體行為應該被他人及整個社會所接受，最終實現(xiàn)信息活動的規(guī)范化和信息交流的無障礙化。 ? 犯罪后果嚴重 信息安全專家普遍認為，信息犯罪危害性的大小，取決于信息資源的社會作用，作用越大，信息犯罪的后果越嚴重。 信息犯罪的顯著特點 ? 智能化 以計算機及網(wǎng)絡犯罪為例，犯罪者大多是掌握計算機和網(wǎng)絡技術的專業(yè)人才。 ? 妨害社會秩序和市場秩序 的信息犯罪 ? 犯罪主體利用信息網(wǎng)絡從事虛假宣傳、非法經(jīng)營及其它非法活動，對社會秩序和正規(guī)的市場秩序造成惡劣影響。 ? 以信息資源為犯罪對象的犯罪常見的有： ? 信息破壞 犯罪主體出于某種動機，利用非法手段進入未授權的系統(tǒng)或對他人的信息資源進行非法控制，具體行為表現(xiàn)為故意利用損壞、刪除、修改、增加、干擾等手段，對信息系統(tǒng)內部的硬件、軟件以及傳輸?shù)男畔⑦M行破壞，從而導致網(wǎng)絡信息丟失、篡改、更換等，嚴重的可引起系統(tǒng)或網(wǎng)絡的癱瘓。 ? 目前多數(shù)的信息犯罪均屬于 計算機及網(wǎng)絡犯罪 。 ? 第五級 訪問驗證保護級 ：本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。 五個安全等級 ? 第一級 用戶自主保護級 ：本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。 中國的有關信息安全標準 ? 1985年發(fā)布了第一個標準 GB4943“ 信息技術設備的安全 ”，并于 1994年發(fā)布了第一批信息安全技術標準。 ? 步驟三、 進行信息安全風險評估 信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產(chǎn)的敏感程度，所采用的評估措施應該與組織對信息資產(chǎn)風險的保護需求相一致。