导图社区 OSG9第四章法律、法规和合规

OSG9第四章法律、法规和合规

第四章法律、法规和合规，CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证

编辑于2023-07-14 11:27:52 广东

CISSP
osg

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

OSG9第四章法律、法规和合规

社区模板帮助中心，点此进入>>

Summer

他的近期作品集查看更多>>

CISSP OSG9 含24个作品
CISSP（Certification for Information System Security Professional）即信息系统安全专业认证，这一证书代表国际信息系统安全从业人员的权威认证，CISSP认证项目面向从事商业环境安全体系建构、设计、管理或控制的专业人员，对从业人员的技术及知识积累进行测试

他的近期作品查看更多>>

相似推荐
大纲

《影响力》思维导图
- 221.8k
- 4.4k
- 1.4k
MindMaster
安全教育的重要性
- 5.2k
- 66
- 16
issen
个人日常活动安排思维导图
- 6.7k
- 65
- 7
少儿栏目外景策划波波老师
西游记主要人物性格分析
- 14.2k
- 602
- 100
issen
17种头脑风暴法
- 150.3k
- 10.3k
- 3.2k
MindMaster
亡羊补牢
- 7.2k
- 38
- 7
(*^▽^*)
外婆与姥姥的区别
- 1.6k
- 10
- 1
(*^▽^*)
父母学吧四大模块课程
- 3.2k
- 60
- 6
九一同桌赵晨曦老师
如何令自己更快乐
- 2.3k
- 92
- 10
wxb
头脑风暴法四个原则
- 1.7k
- 69
- 5
issen

第四章法律、法规和合规

4.1 法律的分类

刑法、民法和行政法

所有联邦和州的法律都必须遵守美国的最高法律《美国宪法》，它规定了美国政府如何进行执政工作

所有法律都要受到地方法院的司法审查，这些地方法院有权上诉到美国最高法院。

4.1.1 刑法

刑法是维护和平、保障社会安全的法律体系的基石

刑法包含

谋杀

袭击

抢劫

纵火

未经允许扫描

...

在美国，各级政府守法机构通过选举产生的代表制定刑法

在联邦政府层面，众议院和参议院通常都必须获得多数赞同票，才可使刑法法案变成法律

刑法原告=公诉人/检察院

4.1.2 民法

民法是美国法律体系的主体，用于维护社会秩序，管理不属于犯罪行为但需要由公正的仲裁者解决的个人和组织间的问题

民法包括

合同纠纷

房地产交易

雇佣问题

财产／遗嘱公证程

民法的制定方式与刑法相同

民法和刑法的主要区别在于执行方式

执法当局除了采取必要的行动恢复秩序外，不会介入民法事务

在刑事诉讼中，政府通过执法调查人员和检察官对被指控犯罪的人员提起诉讼

政府在民事案件中的作用

提供审理民事案件的法官

陪审团

法院设施

管理司法系统与法律一致方面发挥行政作用

4.1.3 行政法

美国政府行政部门要求许多机构承担广泛责任以确保政府的有效运作。

虽然行政法不需要通过立法部门的行动来获得法律效力，但它必须符合所有现有的民法和刑法。政府机构不得执行与现行法律直接抵触的法规。

组织安全需要

从整体概念中理解与信息安全相关的法律和监管问题

确定适用于你的组织的合规要求和其他要求

4.2 法律

4.2.1 计算机犯罪

立法者判定的第一批汁算机安全案件是那些涉及计算机犯罪的事件

CISSP 考试时，请确保你能简要描述本章讨论的每项法律的用途。

1. 《计算机欺诈和滥用法案》CFAA

1984 年就颁布《计算机欺诈和滥用法案》 (CFAA)是美国针对网络犯罪的第一项重要立法

CFAA为《全面控制犯罪法》 (CCCA)的一部分

CFAA 措辞谨慎，专门针对跨越州界的计算机犯罪，以免侵犯各州的权利或触犯宪法

CCCA 的主要条款

经授权或超出被赋予的权限访问联邦系统中的机密信息或财务信息。

未经授权访问联邦政府专用的计算机。

使用联邦计算机进行欺诈（除非欺诈的唯一目的是使用计算机）。

对联邦计算机系统造成的恶意损失超过 1000 （后改为5000）美元的行为。

改计算机中的医疗记录，从而妨碍或可能妨碍个人的检查、诊断、治疗或医疗护理。

非法交易计算机密码，前提是非法交易影响了州际贸易或涉及联邦计算机系统。

增加扩大包括的方面

美国政府专用的计算机

金融机构专用的计算机。

政府或金融机构使用的计算机，如果其被破坏，会妨碍政府或金融机构使用系统。

被组合起来实施犯罪的不在同一个州的所有计算机。

2.CFAA 修正案

1994 年，美国国会认识到，从 1986 年对 CFAA 进行最后一次修订起，计算机安全领域发生了巨大变化，于是对该法案进行了多次大范围修改-《1994 年计算机滥用修正案》

《1994 年计算机滥用修正案》条款

宣布创建任何可能对计算机系统造成损害的恶意代码的行为是不合法的。

修改CFAA, 使其适用于州际贸易中使用的所有计算机，而不仅适用于涉及“联邦利益”的计算机系统

允许关押违法者，不管他们是否造成实际损害。

为计算机犯罪的受害者提供了提起民事诉讼的法律授权，使他们可通过民事诉讼获得法令救济和损害赔偿。

在 1994 年第一次修正 CFAA 后，美国国会又分别在 1996 年、 2001 年、 2002 年和 2008年通过了附加修正案，并将其作为其他网络犯罪法律的一部分

3. 1996 年的美国《国家信息基础设施保护法案》

1996 年，美国国会还通过了对《计算机欺诈和滥用法案》的另一项修正案，目的是进一步扩大保护范围。《国家信息基础设施保护法案》

新领域

扩大CFAA 范围，使其涵盖国际贸易中使用的计算机系统以及州际贸易中使用的系统。

将类似的保护扩展到计算系统以外的其他国家基础设施，如铁路、天然气管道、电网和电信线路。

任何对国家基础设施关键部分造成损害的故意或鲁莽行为视为重罪。

4. 联邦量刑指南

1991 年颁发的联邦量刑指南为联邦法官判决计算机犯罪提供了处罚指南

三个条款

指南正式提出谨慎人规则，该规则要求高级管理人员为“应尽关心”而承担个人责任。这条规则从财务职责领域发展而来，也适用于信息安全方面。

指南允许组织和高级管理人员通过证明他们在履行信息安全职责时实施了尽职审查，将对违规行为的惩罚降至最低。

指南概述了关于疏忽的三种举证责任。首先，彼指控疏忽的人必定负有法律上不可推害之间必然存在因果关系。脱的责任。其次，被指控人员必定没有遵守公认的标准。最后，疏忽行为与后续的损失

5. 《联邦信息安全管理法案》FISMA

2002 年通过的《联邦信息安全管理法案》 (FISMA)要求联邦机构实施涵盖机构运营的信息安全程序。

FISMA联邦信息安全管理法案废除并取代了之前的两个法案： 1987 年的《计算机安全法案》和 2000 年的《政府信息安全改革法案》。

美国国家标准与技术研究院(NIST) 负责制订 (The Federal Information Security Management Act FISMA) 实施指南

FISMA

定期评估风险，包括未经授权访问、使用、泄露、中断、修改或破坏信息和信息系统（用于支持组织运营），以及组织资产可能受到的损害程度。

基于风险评估的策略和程序，以合理费用将信息安全风险降至可接受的水平，并确保将信息安全贯穿到组织信息系统的生命周期中。

为网络、设施、信息系统或信息系统群组提供适当的信息安全细分计划

开展安全意识培训，告知员工（包括合同商和其他支持组织运营的信息系统用户）与他们的工作相关的信息安全风险，并使其知道他们有责任遵守组织为降低这些风险而设计的策略和程序

定期测试和评估信息安全策略、程序、实践和安全控制的有效性，执行频率取决于风险，但不少于每年一次。

规划、实施、评估和记录补救措施的过程，以解决组织信息安全策略、程序和实践中的任何缺陷

检测、报告和响应安全事件的程序

制订计划和程序，确保支持组织业务和资产的信息系统的业务连续性

FISMA 对联邦机构和政府承包商造成了很大负担，要求他们必须编写和维护关于FISMA合规活动的大量文档。

6.2014 年的联邦网络安全法案

《联邦信息系统现代化法案》（也被缩写为 FISMA)

2014 年的 FISMA修改了 2002 年发布的 FISMA 的规则，将联邦网络安全责任集中到美国国土安全部

两个例外情况

与国防相关的网络安全问题仍由美国国防部负责

美国国会通过了《网络安全增强法案》，该法案要求 NIST 负责协调全国范围内的自发网络安全标准工作。

NIST 的常用标准

NIST SP 800-53: 联邦信息系统和组织的安全和隐私控制。该标准适用于联邦计算系统也常被用作行业网络安全基准

NIST SP 800-171 ：保护非联邦信息系统和组织中受控的非分类信息。遵守该标准的安全控制（与 NIST SP 800-53 的安全控制非常相似）经常被列入政府机构的合同要求。联邦承包商通常必须遵守 NIST SP 800-171

NIST 网络安全框架(CSF) 。这套标准旨在充当自发的基于风险的框架，用于保护信息和系统。

帮信罪，IT开发，公司非法作为，明知故犯，知道后最好离职

4.2.2 知识产权

这些无形资产统称为知识产权(IP) ，并有一整套保护知识产权所有者权益的法律。

四种主要的知识产权类型

版权

商标

专利

商业秘密

版权&《数字千年版权法，DMCA》

版权法保护“原创作品”的创作者，防止创作者的作品遭受未经授权的复制

版权保护的作品有八大类

文学作品

音乐作品

戏剧作品

哑剧和舞蹈作品

绘画、图形和雕刻作品

电影和其他音像作品

声音录音

建筑作品

版权法只保护计算机软件固有的表现形式，即实际的源代码，而不保护软件背后的思想或过程

法律规定作品的创作者从作品创作完成的那一刻起就自动拥有版权。

版权保护时间

现在的版权法提供了一个相当长的保护期。对于一个或多个作者的作品，其被保护的时间是最晚去世的作者离世后的 70 年

因受雇而创作的作品和匿名作品被保护的时间是：第一次发表日期后的 95 年，或从创建之日起的 120 年，这两个时间中较短的一个

1998年《数字于年版权法》 (DMCA)

DMCA 说明了版权法条款在互联网上音频和/或视频数据流中的应用。

传输必须由提供商以外的人发起

传输、路由、连接的提供或复制必须由自动化技术过程执行，而不盂要服务提供商进行选择

服务提供商不能确定数据的接收者

任何中间副本通常个能被预期收件人以外的任何人访问，而且保留期限不得超过合理需要的时间

数据必须在不改变内容的情况下传输

商标

对于用来辨识公司及其产品或服务的文字、口号和标志的商标，也存在保护机制，商标不保护计算机软件

和版权保护一样，商标不需要正式注册就能获得法律保护

使用TM符号来表明你想将文字或标语当作商标来保护，要让官方认可你的商标，可向美国专利商标局(USPTO)注册

一旦收到来自 USPTO 的注册证书，即可使用符号（圆圈R）来表示这是已注册的商标

商标申请要求

商标不能与其他商标类似，以免造成混淆。这需要律师在尽职审查期间予以确定。在该商标开放接受反对意见期间，其他公司可对申请的商标提出质疑。

商标不能是所提供的产品与服务的说明。例如， “Mike's Software Company" 就不是一个好的商标候选名称，因为它描述了公司生产的产品。如果 USPTO 认为商标具有描述性，可能拒绝批准申请。

在美国，商标批准后的初始有效期为 10 年，到期后可按每次 10 年的有效期延续无数次。

专利

利提供了自发明之日起（自首次申请之日起）20 年的保护期限，在此期间发明者具有独家使用该发明的权利（且接使用或通过许可协议便用）。

专利三个重点要求

发明必须具有新颖性。只有创意新颖的发明才能获得专利。

发明必须具有实用性。发明必须能实际使用并完成某种任务

明必须具有创造性，不能平淡无奇

外观设计专利。这些专利涵盖了发明的外观，仅持续 15 年

商业秘密

许多公司拥有对其业务而言极其重要的知识产权，如果这些知识产权被泄露给竞争对手或公众，将造成重大损失，这些知识产权就是商业秘密

用版权和专利来保护商业秘密的缺点

申请版权或专利时需要公开透露作品或发明细节

版权和专利提供的保护都有时间期限

1996 年颁布《经济间谍法案》

任何窃取美国公司商业秘密并意图从外国政府或代理人力面获取相关利益的个人，最多处罚50万美元罚款和最长15年监禁

其他情况下窃取商业秘密的人员可能被处以最多25 万美元的罚款和最长 10 年的监禁。

《经济间谍法案》条款真正保护商业秘密所有者的知识产权

4.2.3 许可(licence)

合同许可协议：使用书面合同，列出软件供应商和客户之间的责任。这些协议适用于高价和或特别专业化的软件包。

开封生效许可协议：被写在软件包装的外部。它们通常包含一个条款，指出只要打开包装上的收缩包装封条，即意味着认可合同条款。

单击生效许可协议：正变得比开封生效许可协议更常见。在这类协议中，合同条款要么写在软件包装盒上，要么包含在软件文档中。在安装过程中，用户需要单击一个按钮来表明已阅改并同意遵守这些协议条款。这增加了对协议流程的积极认可，确保个人在安装前知道许可协议的存在。

云服务许可协议：将单击生效许可协议发挥到了极致，大多数云服务不需要任何形式的书面协议，而只在屏幕上快速显示法律条款以供检阅，大多数用户在急于访问一个新服务时，只会单击“确认”按钮，而不会真正阅读协议条款，因而可能无意中让整个组织承受繁杂的法律责任条款与条件

许可证（licence）：不要使用盗版

4.2.4 进口／出口控制

在冷战期间，美国政府制定了一套复杂的法规制度以管制向其他国家出口敏感的硬件和软件产品的行为，包括管理跨国界流动的新技术、知识产权和个人身份信息

进出口的联邦法规

国际武器贸易条例(ITAR)控制的是被明确指定为军事和国防物品的物资的出口，包括与这些物资相关的技术信息。

出口管理条例(EAR)涵盖了更广泛的物资，这些物资专为商业用途而设计，但可能有军事用途。

1. 计算机出口控制

目前，美国企业可向几乎所有国家出口高性能计算系统，而不必事先得到政府的批准。

2. 加密技术出口控制

现在这些规定允许公司将这些产品提交给商务部审查，审查时间不超过 30 天。审查成功后，公司可自由地出口这些产品

4.2.5 隐私

1. 美国隐私法

第四修正案隐私权的基础是美国宪法的第四修正案

公民的人身、住宅、文件和财产不受无理搜查和扣押的权利，不得受到侵犯。除依照合理根据，以宣芒或代誓宣言保证，并具体说明搜查地点和扣押的人或物，不得发出搜查和扣押状。

1974 年颁布的《隐私法案》

1986 年颁布的《电子通信隐私法案》 (ECPA)将侵犯个人电子隐私的行为定义为犯罪。

1994 年颁布的《通信执法协助法案》 (CALEA)修正了 1986 年颁布的《电子通信隐私法案》。

1996 年颁布的《经济间谍法案》扩大了财产的定义，使其包括专有经济信息，从而可将窃取这类信息的行为视为针对行业或企业的间谍行为

1996年《健康保险流通与责任法案》 (HIPAA），对医疗保险和健康维护组织(HMO) 的法律进行了大量修改

HIPAA 的规定包括隐私和安全法规，要求医院、医生、保险公司和其他处理或存储私人医疗信息的组织采取严格的安全措施。

HIPAA 还明确规定了作为医疗记录主体的个人的权利，并要求维护这些记录的组织以书面形式表明这些权利。

涉及隐私

PII

PHI

举例医院的条形码处理，部分匿名

2009 年，美国国会通过了《健康信息技术促进经济和临床健康法案》 (HITECH) ，对 HIPAA 进行了修订

《数据泄露通知法案》

未加密个人数据

社会安全号码

驾驶执照号码

国家身份识别卡号码

信用卡或借记卡号码

与安全代码、访问代码或口令相结合的银行账户号码，允许对账户进行访问

医疗记录

健康保险信息

1998 年颁布的《儿童在线隐私保护法》 2000 年 4 月，《儿童在线隐私保护法》 (COPPA)的实施细则正式生效。

网站必须有隐私声明，明确说明所收集信息的类型和用途，包括是否有任何信息泄露给第三方。隐私通知还必须包含网站运营商的联系信息

必须向父母提供机会，使其能够复查从孩子那里收集的任何信息，并可从网站记录中永久删除这些信息

如果儿童的年龄小于 13 岁，那么在收集任何信息前，必须征得其父母的同意

1999 年颁布的《格拉姆-利奇-布莱利法案》《Gramm-Leach-Bey 法案》直到《Gramm-Leach-Bliley 法案》 (GLBA)于 1999 年成为法律，美国对金融机构（银行、保险公司和信贷提供商）才有了严格的监管规定

2001 年颁布的《美国爱国者法案》为了对 2001 年 9 月 11 日在纽约和华盛顿发生的恐怖袭击予以直接回应

《家庭教育权利和隐私法案》 (FERPA)是另一种特殊的隐私法案，影响着所有接受联邦政府资助的教育机构（绝大多数学校），18 岁以上的学生和未成年学生的父母赋予明确的隐私权

父母／学生有权检查学校对学生的任何教育记录。

父母／学生有权要求更正他们认为错误的记录，并有权将其对任何未更正记录的声明陈述纳入记录中。

除特殊情况外，学校不得在未经书面同意的情况下公布学生记录中的个人信息。

《身份盗用与侵占防治法》 1998 年，美国总统签署了《身份盗用与侵占防治法》，使其成为法律

规定对所有违法人员处以严厉处罚（最多可判处 15 年的监禁和／或 25 万美元的罚款）

《联邦法规，CFR》包含联邦机构颁布的所有行政法律文本

《美国法典，USC》包含刑事和民事法律

最高法院的裁决包含对法律的解释

2. 欧盟隐私法

欧盟(EU)作为信息隐私领域的主导力量，通过了一系列旨在保护个人隐私权的法规

欧盟数据保护指令((Data Protect Demand,，DPD)

1995 年 10 月 24 日，欧盟议会通过了一项全面的数据保护指令，概述了为保护信息系统中处理的个人数据而必须采取的隐私措施

1998 年 10 月生效，是世界上第一部基础广泛的隐私法。

个人数据的处理标准

同意

合同

法律义务

个人数据的处理

平衡数据所有者和数据主体之间的利益

访问数据的权利

有权知道数据的来源

纠正不准确数据的权利

某些情况下不同意处理数据的权利

这些权利被侵犯时可采取法律行动的权利

欧盟《通用数据保护条例》GDPR

《通用数据保护条例》（General Data Protection Regulation，GDPR)于 2018 年生效，取代了之前的数据保护指令(DPD)

GDPR，数据泄露72小时需要通知用户

适用范围

适用于所有收集欧盟居民数据或代表收集数据的人员处理这些信息的组织

适用于收集欧盟居民信息的非欧盟组织

罚款5000万，营业额的4%

GDPR 的一些主要规定

合法、公平和透明：意味着你必须有处理个人信息的法律依据，不得以误导或损害数据主体的方式处理数据，并且你必须对数据处理活动保持公开和诚实的态度。

目的限制：是指你必须清楚地记录和披露你收集数据的目的，并将你的活动限制为披露的目的

数据最小化：意味着你必须确保所处理的数据能满足你的既定目的，并且仅限于你为此目的实际需要的数据

准确性：是指你收集、创建或维护的数据是正确的且没有误导性，维护更新的记录，并且更正或删除不准确的数据

存储限制：表明，你仅在实现合法、公开目的所需的时间内保留数据，并且遵守“遗忘权”，允许人们要求公司在不再需要时删除他们的信息。

安全性：表示你必须有适当的完整性和保密性控制来保护数据。

问责制：表明，你必须对针对受保护数据采取的行动负责，并且必须能够证明你的合规性

跨境信息共享

在跨境传输信息时，应特别关注 GDPR

两种方式来遵守欧盟法规

组织可以采用一套标准合同条款，这些条款已获准用于将信息传输到欧盟以外的情况。这些条款可在欧盟网站找到并可集成到合同中。

组织可以采用具有约束力的公司规则来管理同一公司内部单位之间的数据传输。这是一个非常耗时的过程这些规则必须得到每个将要使用它们的欧盟成员国的批准，所以通常这个方法只被规模非常大的组织所采用

过去，欧盟和美国运行着一项名为“隐私盾”的安全港协议，如果获得了隐私盾，则可传输信息。

3.加拿大隐私法

《个人信息保护和电子文件法》 (Personal Information Protection and Electronic Documents Act, PIPEDA)，它是一项限制商业公司如何收集、使用和披露个人信息的国家法律。

PIPEDA个人信息示例

种族、民族或种族本源

宗教

年龄

婚姻状况

医疗、教育或工作经历、财务信息

DNA

身份识别号码

员工绩效记录

PIPEDA 也可能被与之基本相似的特定省份法律所取代。 PIPEDA 通常不适用于非营利组织、市政当局、学校和医院。

4. 州隐私法

除了影响信息隐私和安全的联邦和国际法律之外，组织还必须了解州、省和其开展业务的其他司法管辖区发布的法律

《加州消费者隐私法案》 (CCPA)该法案以欧盟的 GDPR 为蓝本。它于 2020 年生效

CCPA

了解企业正在收集哪些信息以及组织如何使用和共享该信息的权利

被遗忘的权利，允许消费者在某些情况下要求组织删除他们的个人信息

选择不出售其个人信息的权利

行使其隐私权的权利，而不必担心因使用而受到歧视或报复

跨境传输的核心，遵守所在国的法律法规

4.3 合规

支付卡行业数据安全标准(PCI DSS)是合规要求的一个好例子

组织财务系统的信息安全控制确保遵守萨班斯-奥克斯利法案（SOX）,上市公司财务

PCIDSS 有 12 个主要要求

安装和维护防火墙配置以保护持卡人数据。

不要使用由供应商提供的默认系统密码和其他默认安全参数。

保护存储的持卡人数据。

在开放的公共网络加密传输持卡人数据。

使所有系统免受恶意软件攻击并定期更新杀毒软件或程序。

开发和维护安全的系统和应用程序。

基于业务的因需可知原则，限制对持卡人数据的访问。

识别和验证对系统组件的访问。

限制对持卡人数据的物理访问。

跟踪和监控对网络资混和持卡人数据的所有访问。

定期测试安全系统和流程。

维护针对所有人员的信息安全的策略。

4.4 合同和采购

越来越多的用户使用云服务和其他外部供应商来存储、处理和传输敏感信息，这导致组织开始关注可在合同和采购过程中实施的安全审查和控制

供应商管理审查期间要涵盖的一些问题

供应商存储、处理或传输哪些类型的敏感信息？

采取哪些控制措施来保护组织的信息？

何区分组织的信息与其他客户的信息？

如果加密是一种值得信赖的安全控制机制，要使用什么加密算法和密钥长度？如何进行密钥管理？

供应商执行了什么类型的安全审计，客户对这些审计有什么访问权限？

供应商是否依赖其他第三方来存储、处理或传输数据？合同中有关安全的条款如何适用于第三方？

据存储、处理和传输发生在哪些地方？如果客户和I或供应商在国外，会产生什么影响？

供应商的事件响应流程是什么？何时通知客户可能的安全破坏？

有哪些规定来确保客户数据拥有持续的完整性和可用性？

A企业将数据交给B企业去处理，核心关注B企业数据处理的合规性，如何证明：

提供第三方审计报告

合规符合隐私要求

OSG9第四章 法律、法规和合规

OSG9第四章 法律、法规和合规

OSG9第四章法律、法规和合规

OSG9第四章法律、法规和合规