3)法律建設與標準化

法律是一國之根本，信息安全問題的特殊性和復雜性需要國家通過法律進行約束。信息安全立法活動必須在立法原則的指導下進行，才能把握信息安全發展的客觀規律，更好地發揮法律調控功能。

由于互聯網的開放、自由和共有的脆弱性，使國家安全、社會公共利益以及個人權利在網絡活動中面臨著來自各方面的威脅，國家需要在技術允許的范圍內保持適當的安全要求。 這即美國聯邦信息安全管理法所確認的“適度安全”。所謂適度安全是指安全保護的立法的范圍要和應用的重要性相一致，不要花費過多的成本，限制信息系統的可用性。

正如與傳統安全一樣，信息安全風險具有“不可逆”的特點，需要信息安全法律采取以預防為主的法律原則。由于信息安全威脅的全局性特點，其法律原則更應當采取積極主動的預防原則，從發現威脅、降低風險、控制風險的一切環節構建信息安全法律保障能力。