法律是一國之根本，信息安全問題的特殊性和復(fù)雜性需要國家通過法律進(jìn)行約束。信息安全立法活動(dòng)必須在立法原則的指導(dǎo)下進(jìn)行，才能把握信息安全發(fā)展的客觀規(guī)律，更好地發(fā)揮法律調(diào)控功能。

由于互聯(lián)網(wǎng)的開放、自由和共有的脆弱性，使國家安全、社會(huì)公共利益以及個(gè)人權(quán)利在網(wǎng)絡(luò)活動(dòng)中面臨著來自各方面的威脅，國家需要在技術(shù)允許的范圍內(nèi)保持適當(dāng)?shù)陌踩蟆?這即美國聯(lián)邦信息安全管理法所確認(rèn)的“適度安全”。所謂適度安全是指安全保護(hù)的立法的范圍要和應(yīng)用的重要性相一致，不要花費(fèi)過多的成本，限制信息系統(tǒng)的可用性。

正如與傳統(tǒng)安全一樣，信息安全風(fēng)險(xiǎn)具有“不可逆”的特點(diǎn)，需要信息安全法律采取以預(yù)防為主的法律原則。由于信息安全威脅的全局性特點(diǎn)，其法律原則更應(yīng)當(dāng)采取積極主動(dòng)的預(yù)防原則，從發(fā)現(xiàn)威脅、降低風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)的一切環(huán)節(jié)構(gòu)建信息安全法律保障能力。