CISSP学习笔记-4（法律、法规和合规）.pdf

CISSP学习笔记-4（法律、法规和合规）

法律、法规和合规

法律的分类

刑法

刑法使社会免受违反我们信仰的基本原则的⾏为的侵害。违反刑法的⾏为将由美国联和州政府进⾏起诉。

⺠法

⺠法为⼈与组织之间的商业交易提供了框架。违反⺠法的⾏为将通过法庭，由受影响的当事⼈进⾏辨论。

维护社会秩序

⾏政法

⾏政法是政府机构⽤来有效地执⾏⽇常事务的法律。

法律

计算机犯罪

计算机欺诈和滥⽤法案 CFAA

CCCA的⼀部分

1984年颁布，第⼀个重要⽴法

CFAA修正案

国家信息基础设施保护法案

1996年颁布

联量刑指南

联信息安全管理法案 FISMA

美国国家标准与技术研究院NIST 负责制定FISMA指南

联⽹络安全法案

2014年颁布

知识产权

版权保护创作者的原创作品，如书籍、⽂章、诗歌和歇曲。

多个作者，最后⼀个逝世70年后；受雇创作第⼀次发表后95年或创建之⽇120年⼆者中短的

商标

商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。

有效期10年，每次续期10年

专利

保护期20年

外观专利15年

商业秘密

商业秘密法保护企业的经营秘密。

许可

类型

协议，合同许可

开封⽣效许可协议写在软件包装外部

单击⽣效许可协议

云服务许可协议将单击⽣效协议发挥到极致

进⼝/出⼝控制

计算机出⼝控制

加密技术出⼝控制

隐私

美国隐私法

第四修正案

基础，⼈身、住宅、⽂件和财务

1974年隐私法案

限制联政府在没有获得当事⼈书⾯同意获取个⼈信息

1986年电⼦通信隐私法案 ECPA

电⼦隐私，防⽌对电⼦邮件和语⾳邮件的监控

1994年通信执法协助法案 CALEA

修正了ECPA，通信运营商允许执法⼈员进⾏窃听

1996年经济间谍法案

扩⼤了财产的定义，包括专有经济信息，违法获取信息是对⾏业、企业的间谍⾏为

1996年健康保险流通与责任法案 HIPAA

医院、医⽣、保险公司采取严格的安全措施保护个⼈隐私

涵盖的实体

Covered en/ty

HIPAA涵盖的实体包括健康计划、医疗保健提供者等。 健康计划包括健康保险公司、健康维护组织、⽀付 医疗保

健费⽤的政府计划例如医疗保险)以及军队 和退伍军⼈的健康计划。

2009年健康信息技术促进经济和临床健康法案 HITECH

商业伙伴也和受约束实体⼀致，数据泄露通知

告知受影响个⼈，超过500⼈，通知卫⽣与社会服务部⻔和媒体

HITECH的数据泄露通知法案 加州第⼀个通过了SB 1386法案

1998年⼉童在线隐私保护法 COPPA

⽹站必须有隐私声明，说明⽤途类型以及是否给第三⽅

必须向⽗⺟提供删除信息的机会

13岁，⼩于必须获得⽗⺟同意

1999年Gramm-Leach-Bliley法案 GLBA

银⾏、保险公司和信贷提供商在提供服务和分享信息⽅⾯受到严格限制。 GLBA包含对同⼀公司的⼦公司之间交换的

多类信息的限制， 并要求⾦融机构向所有客户提供书⾯的隐私政策。

2001年美国爱国者法案

扩展了执法机构和情报机构的权⼒，包括对电⼦通信的监控

处理ISP信息的⽅式，ISP⾃愿向政府提供信息，允许政府通过传票⽅式⽽⾮监听⽅式获取信息

家庭教育权利和隐私法案

针对教育机构

家庭教育权和隐私权法案规定，未满18岁的学⽣或符合条件的学⽣18岁以上或那些被⾼中 以上教育机构录取的学⽣)

的家⻓可以查看并申请修正学⽣的教育记录。该法案还规定， 学校必须取得学⽣家⻓或符合条件的学⽣的书⾯允许