法律
1. 知识产权法(Intellectual Property Law, IP Law)
- 专利法(Patent Law):保护发明和创新,赋予发明人一定时期的独占权。
- 版权法(Copyright Law):保护原创作品(如软件、书籍、音乐、电影)。
- 商标法(Trademark Law):保护品牌标志、徽标,以防止混淆。
- 商业秘密法(Trade Secret Law):保护企业的机密信息,如配方、算法。
2. 隐私和数据保护法(Privacy and Data Protection Laws)
监管个人数据的收集、存储和处理,主要法律包括:
- GDPR(General Data Protection Regulation) – 欧盟《通用数据保护条例》
- CCPA(California Consumer Privacy Act) – 美国加州消费者隐私法
- HIPAA(Health Insurance Portability and Accountability Act) – 美国医疗信息保护法
- GLBA(Gramm-Leach-Bliley Act) – 保护金融信息的法律
- FERPA(Family Educational Rights and Privacy Act) – 保护学生隐私的法律
3. 计算机犯罪法(Computer Crime Laws)
处理与计算机和网络相关的犯罪行为,包括:
- CFAA(Computer Fraud and Abuse Act) – 美国《计算机欺诈和滥用法》
- DMCA(Digital Millennium Copyright Act) – 数字版权保护
- Cybersecurity Act – 网络安全相关法律
- 电子通信隐私法(ECPA) – 保护电子通信
4. 合规性与行业法规(Compliance and Industry Regulations)
主要用于不同行业的信息安全合规要求:
- SOX(Sarbanes-Oxley Act) – 美国《萨班斯-奥克斯利法案》,用于企业财务合规
- PCI DSS(Payment Card Industry Data Security Standard) – 用于信用卡支付安全
- FISMA(Federal Information Security Management Act) – 适用于美国联邦政府机构的信息安全管理
5. 责任与合同法(Liability and Contract Laws)
规定企业和个人在安全事务中的法律责任:
- 过失责任(Negligence Liability) – 如果企业未采取足够的安全措施,可能需要承担法律责任
- 合同法(Contract Law) – 规定供应商、客户、第三方之间的信息安全责任
- 服务水平协议(SLA, Service Level Agreement) – 确定安全和性能标准
6. 调查与取证(Investigations and Forensics)
处理电子取证、证据收集、网络犯罪调查:
- 电子证据的可接受性(Admissibility of Digital Evidence)
- 链条保全(Chain of Custody)
- 计算机取证分析方法(Computer Forensics Analysis Methods)
- 执法合作(Law Enforcement Collaboration)
总结
CISSP 涉及的信息安全法律可分为:
- 知识产权法(专利、版权、商标、商业秘密)
- 隐私与数据保护法(GDPR、CCPA、HIPAA)
- 计算机犯罪法(CFAA、DMCA)
- 行业法规与合规性(SOX、PCI DSS、FISMA)
- 责任与合同法(过失责任、合同、SLA)
- 调查与取证(电子证据、取证流程)
HITECH(Health Information Technology for Economic and Clinical Health Act)— HITECH 法案
HITECH(《健康信息技术经济和临床健康法案》)是 2009 年美国《经济复苏与再投资法案》(ARRA)的一部分,旨在加强**HIPAA(Health Insurance Portability and Accountability Act,健康保险可携性和责任法案)**的隐私和安全规定,特别是在电子健康记录(EHR,Electronic Health Records)和医疗数据保护方面。
HITECH 规定,当 ePHI 遭遇未经授权的访问或泄露时:
-
必须在 60 天内通知受影响的个人。
-
如果泄露影响超过 500 人,必须通知 媒体和美国卫生与公众服务部(HHS)。
-
需要采取适当措施来减少泄露的影响,例如提供身份保护服务。
-
患者有权获取和控制自己的电子健康记录(EHR)。
-
允许患者限制某些数据共享(例如,不希望某些支付方获取他们的健康信息)。
-
更透明的数据访问记录:患者可以查看谁访问了他们的 ePHI。
HITECH 增加了对 HIPAA 违规行为的罚款,按照过失程度划分:
| 违规类型 | 每项违规罚款 | 年度最高罚款 |
|---|---|---|
| 无意违规 | $100 – $50,000 | $1,500,000 |
| 有意但非恶意 | $1,000 – $50,000 | $1,500,000 |
| 明知违规但未整改 | $10,000 – $50,000 | $1,500,000 |
| 恶意违规 | 最高 $50,000 | 最高 $1,500,000 |
DPD
在 CISSP(Certified Information Systems Security Professional) 领域,DPD(Data Protection Directive) 通常指的是 《数据保护指令》,即 95/46/EC 指令。该指令是欧盟在 1995 年颁布的一项法律,旨在规范个人数据的收集、处理和存储,并确保数据隐私和安全。
- 数据最小化原则(Data Minimization) —— 只收集必要的数据,避免过度收集。
- 合法性、公平性和透明度(Lawfulness, Fairness, Transparency) —— 数据收集必须合法、公正,并向用户透明。
- 目的限制(Purpose Limitation) —— 个人数据只能用于指定的合法目的,不得用于其他用途。
- 数据准确性(Data Accuracy) —— 个人数据应保持最新和准确。
- 存储限制(Storage Limitation) —— 数据不应被存储超过必要的时间。
- 完整性与保密性(Integrity and Confidentiality) —— 采取适当的安全措施保护数据不被泄露、篡改或滥用。
- 责任制(Accountability) —— 数据控制者需证明自己符合数据保护要求。
| 对比项 | DPD(1995/46/EC) | GDPR(2016/679) |
|---|---|---|
| 生效时间 | 1995 年 | 2018 年 |
| 法律效力 | 需要各国自行立法实施 | 直接适用于所有欧盟国家 |
| 适用范围 | 仅限于欧盟境内 | 适用于处理欧盟居民数据的全球企业 |
| 罚款机制 | 罚款较低,由各国决定 | 最高可达全球年营业额 4% 或 2000 万欧元 |
| 数据主体权利 | 仅基本权利,如访问、纠正 | 增强了删除权、数据可携带权等 |
| 隐私设计(Privacy by Design) | 无强制要求 | 作为默认要求 |
| 数据泄露通知 | 无强制性 | 必须在 72 小时内通知监管机构 |
如何在金融系统中应用Dubbo?)