导图社区 CISSP学习笔记-4(法律、法规和合规)
这是一篇关于CISSP学习笔记-4(法律、法规和合规)的思维导图,主要内容包括:重要习题,考试要点,法律、法规和合规。
编辑于2024-01-26 14:19:39CISSP学习笔记-4(法律、法规和合规)
法律、法规和合规
法律的分类
刑法
刑法使社会免受违反我们信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州政府进行起诉。
民法
民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭,由受影响的当事人进行辨论。
维护社会秩序
行政法
行政法是政府机构用来有效地执行日常事务的法律。
法律
计算机犯罪
计算机欺诈和滥用法案 CFAA
CCCA的一部分
1984年颁布,第一个重要立法
CFAA修正案
国家信息基础设施保护法案
1996年颁布
联邦量刑指南
联邦信息安全管理法案 FISMA
美国国家标准与技术研究院NIST 负责制定FISMA指南
联邦网络安全法案
2014年颁布
知识产权
版权保护创作者的原创作品,如书籍、文章、诗歌和歇曲。
多个作者,最后一个逝世70年后;受雇创作第一次发表后95年或创建之日120年二者中短的
商标
商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。
有效期10年,每次续期10年
专利
保护期20年
外观专利15年
商业秘密
商业秘密法保护企业的经营秘密。
许可
类型
协议,合同许可
开封生效许可协议写在软件包装外部
单击生效许可协议
云服务许可协议将单击生效协议发挥到极致
进口/出口控制
计算机出口控制
加密技术出口控制
隐私
美国隐私法
第四修正案
基础,人身、住宅、文件和财务
1974年隐私法案
限制联邦政府在没有获得当事人书面同意获取个人信息
1986年电子通信隐私法案 ECPA
电子隐私,防止对电子邮件和语音邮件的监控
1994年通信执法协助法案 CALEA
通信运营商允许执法人员进行窃听
1996年经济间谍法案
行业、企业
1996年健康保险流通与责任法案 HIPAA
医院、医生、保险公司采取严格的安全措施保护个人隐私
2009年健康信息技术促进经济和临床健康法案 HITECH
商业伙伴也和受约束实体一致,数据泄露通知
告知受影响个人,超过500人,通知卫生与社会服务部门和媒体
1998年儿童在线隐私保护法
1999年Gramm-Leach-Bliley法案
2001年美国爱国者法案
家庭教育权利和隐私法案
身份盗用与侵占防治法
欧盟隐私法
欧盟数据保护指令 DPD
欧盟数据保护条例
跨境信息共享
加拿大隐私法
个人信息保护和电子文件法 PIPEDA
州隐私法
合规
合规审计
合同和采购
考试要点
了解刑法、民法和行政法的区别。刑法使社会免受违反我们信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州政府进行起诉。民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭,由受影响的当事人进行辨论。行政法是政府机构用来有效地执行日常事务的法律。
能够解释旨在使社会免受计算机犯罪影响的主要法律的基本条款。《计算机数诈和滥用法案》(修正案)保护政府或州际贸易中使用的计算机,使其不被滥用。《电子通信隐私法案》(ECPA)规定,侵犯个人的电子隐私的行为是犯罪行为。
了解版权、商标、专利和商业秘密之间的区别。版权保护创作者的原创作品,如书籍、文章、诗歌和歇曲。商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。商业秘密法保护企业的经营秘密。
能够解释1998 年领布的《数字千年版权法》的基本条款。《数字千年版权法》禁止绕过数字媒体中的版权保护机制的行为,并限制互联网服务提供商对用广活动的变任。
了解《经济间谍法案》的基本条款。《经济间谍法案》对窃取商业秘密的个人进行惩罚。
了解不同类型的软件许可协议。合同许可协议是软件供应商和用广之间的书面协议。开封生效许可协议被写在软件包装上,在用户打开包装时生效。单击生效许可协议包括在软件包中,但要求用户在软件装过程中接受这些条款。
理解对遭受数据破坏的组织的通告要求。加州领发的 SB 1386 是第一个在全州范围内要求将信息泄露的情況通知当事人的法律。美国目前大多数州通过了类似法律。目前,联邦法律只要求受 HIPAA约束的实体在其保护的个人健康信息被破坏时將相关事实通知到个人。
理解美国、欧洲和加拿大管理个人信息隐私的主要法律。类国有许多隐私法律会影响政府对信息的使用以及特定行业(如处理敏感信息的金融服务公司和医疗健康组织)的信息供用。欧盟有非常全面的 《通用数据保护条例,来管理对个人信息的使用和交换。在加拿大,《个人信息保护和电子文件法》(PIPEDA)管理个人信息的使用。
解释全面合规程序的重要性。大多数组织都受制于与信息安全相关的各种法律和法规要求。构建合规性程序以确保你能实现并始终遵守这些经常重要的合規需求。
了解如何将安全纳入采购和供应商管理流程。许多组织广泛使用云服务,需要在供应商选择过程中以及在持续供应商管理过程中对信息安全控制进行审查。
能够确定信息保护的合规性和其他要求。网络安全专业人员必须能够分析情况并确定适用的司法管辖区和法律。他们必须能够识别相关的合同、法律、监管和行业标准,并根据特定情况对其进行解释。
了解法律和监管问题以及它们与信息安全的关系。了解网络犯罪和数据泄露的概念,并能够在事件发生时将它们应用到环境中。了解哪些许可和知识产权保护适用于组织的数据以及在遇到属于其他组织的数据时应承担的义务。了解与跨国界传输信息相关的隐私和出口管制问题。
重要习题
1.Briamm正在与一家美国软件公司合作,该公司在其产品中使用加密,并计划将其对品出口到美国以外。下面哪个联邦政府机构有权监管加密软件的出口? A. NSA B. NIST C. BIS D. FTC
正确答案:C NSA 美国国家安全局 NIST 国家标准与技术研究院 BIS 商务部工业和安全局 FIC
2.Wendy最近接受了 美国政府机构的高级网络安全管理员职位,她在考虑对她新职位有影响的法律要求。下面哪部法律管理联邦机构的信息安全操作? A. FISMA B. FERPA C. CFAA D. ECPA
正确答案:A
3. 哪类法律不要求美国国会在联邦层面实施,而由行政部门以法规、政策和程序的形式 制定? A. 刑法 B. 普通法 C.民法 D.行政法
正确答案:D
4, 美国哪个州最先通过了以欧盟的《通用数据保护系例》 的要求为蓝木的综合陷私法? A. 加利福尼亚州 B. 纽约州 C.伟蒙特州 D.得克萨斯州
正确答案:A
5.美国国会于 1994年通过 CALEA,要求什么样的组织配合执法调查? A. 金融机构 B.通信运营商 C.医疗健康组织 D.网站
正确答案:B
6.下面哪部法律通过限制政府机构搜查私人住宅和设施的权力来保护公民的隐私权? A.《隐私法案》 B. 第四修正案 C.第二修正案 D. (Gramm-Leach-Bliley 法案》
正确答案:B
7. Matthew 最近创作了一个解决数学问题的新算法,他想与全世界分享。然而,在将软件代码发表在技术期刊前,他希望获得某种形式的知识产权保护(IP)。下面哪种类型的保护最能满足需要? A.版权 B. 商标 C.专利 D.商业秘密
正确答案:A
8 Mary是制造公司 Arne wideets 的联合包始人。她与合作伙伴一起开发了一种特殊的油,这种油将大大改善小部件的制造工艺。为保护配方的秘密,Nary,和loe计划在其他工人离开后自行在工厂里大量制造这种油。她们希望尽可能长时间地保护这个配方。下面哪行类型的知识产权(IP)保护最能满足需要? A.版权 B. 商示 C.专利 D. 商业秘密
正确答案:D
他应该在名字旁边用什么符号来表示它的受保护状态? A. O B. R C. тм D. +
正确答案:C
10. Tom 是一家联邦政府机构的顾问,该机构从选民那里获取个人信息。他希望促近机构与大学之向的研究关系,需要与几所大学共享个人信息。什么法律阻止政府机构披露个人在受保护的情况下向政府提供的个人信息? A. 《隐私法案》 B.《电子通信隐私法案》 C.《健康保险流通与责任法案》 D.<Gramm-Leach-Bliley 法案)
正确答案:A
11.Renee 的组织正在与位于法国的一家公司建立合作伙伴关系,该过程将涉 及个人信息的交换。她在法国的合作伙伴希望确保信息交换符合 GDPR。下面什么机制最合适? A. 具有约束力的公司规则 B.隐私盾 C.隐私锁 D. 准合同条款
正确答案:D
12. <儿童在线陷私保护法》(COPPA)旨在保护使用互联网的儿童的隐私。在未经父母同意的情況下,可被公司收集个人身份信息的儿童的最低年龄是? A. 13 B. 14 C. 15 D. 16
正确答案:A
13. Kevin 正在评估他的组织在州数据泄露通知法下的义务。以下哪一项信息与个人姓名一起出现,通常不受数据泄露通知法保护 A. 社会安全号码 B. 驾照号码 C.信用卡号码 D.学生证号码
正确答案:D
14. Roser 是HIPAA所涵盖的医矿保健组织的CISO。他希望该组织部分数据的供应商在什么情况下允许访问受保护的健康信息PHI数据? A 如果服务提供商获得卫生与公众服务部的认证,这是可允许的。 B 如果服务提供商签订了 商业伙伴协议,这是可允许的。 C.如果服务提供商Roser的细织处于同一州,这是可允许的。 D.这在任何情况下都是不被允许的。
正确答案:B
15. Framees了解到,她組织中的一位用户最近在其主管不知格的情况下注册了一项云服,并特公司信感信息存储在服务中,以下哪一项陈述是正确的? A 如果用户没有签署书面合同,组织则对服务提供商没有义务。 B.用户很可能同意对组织具有约束力的单击生效许可协议。 C.用户的行为可能违反联邦法律。 D.用户的行为可能违反州法律。
正确答案:B
16. Greg 最近接受了一家私人银行的网络安全合规官职位。什么法律最直接影响其组织处理个人信息的方式? A. HIPAA B. GLBA C. SOX D. FISMA
正确答案:B
17. Ruth 最近获得了一项实用专利,该专利涵盖了她的一项新发明。她的发明受到的法律保护能持续多久? A. 自申请之日起 14年 B. 自专利被授子之日起 14年 C. 自申请之日起20年 D.自专利被授子之日起20年
正确答案:C
18.Ryan 正在車查他工作的金融机构与云服务提供商之间拟议的供应商协议的条款。 Ryan 最不关心以下哪一项? A. 供应商执行哪些安全审计? B.有哪些规定来保护数据的保密性、完整性和可用性? C 供应商是否符合 HIPAA? D.使用什么加密算法和密钥长度?
正确答案:C
19.Justin 是一名网络安全顾问,与一家零售商合作设计他们的新销售点(POS)系统。哪 然合规义务与可能通过该系统进行的信用卡信息处理有关? A. SOX B. HIPAA C. PCIDSS D. FERPA
正确答案:C
20. Lomand 和Shordon 最近合著了一籍论文,该论文描达了一种新的超流体真空理论,他们论文的版权将持续多久? A. 出版后 70年 B. 初稿完成后 70年 C.第一作者逝世70年后 D.最后一位作者去世 70 年后
正确答案:D