本篇心得來整理一下符合性(Compliance) 還有 CISSP中必須要遵守的道德規範,兩個部分
法律和法規的相似之處在於兩者都是強制性要求。但是,它們在分權或政府結構方面存在一些細微差別。一般來說,法律是指立法部門製定和通過的規則,而法規是行政部門製定的規則。
Laws (立法機關制定), Regulations (行政機關制定), and Common Laws (司法判例)
下列整理了很多考試有可能會考的規範(感謝各教練前輩的筆記)
國家 | 名稱 | 對象 | 摘要 |
美國 | FISMA,Federal Information Security Management Act | 資訊安全根本大法。架構的宗旨是保護美國政府,避免遭受網路安全攻擊和自然災害,致使敏感資料遭遇風險 | |
美國 | SOX, Sarbanes-Oxley Act | 上市公司 | 對公司經營高層做法律的問責。會被抓去關的。是美國國會根據安隆有限公司及世界通訊公司等財務欺詐事件破產暴露出來的公司和證券監管問題所立的監管法規,簡稱《SOX法案》、《索克思法案》、《塞班斯法案》或《沙賓法案》 |
美國 | SSAE-18 | SSAE-18 不主張特定的控制。相反,它審查受審計組織中控制的使用和應用。它是一種認證標準,用於外部審計,是 SOC 1、2 和 3 報告基礎框架的一部分。鑑證業務標準聲明18是由美國註冊會計師協會審計準則委員會制定並發布的普遍接受的審計準則。儘管它指出它幾乎可以應用於任何主題,但其重點是財務報告的質量報告。它特別關注內部控制,並擴展到對財務報告所涉及的信息系統的控制 | |
美國 | GLBA, Gramm-Leach-Bliley Act | 金融單位 | 集團內的客戶個資做規範。允許商務和投資銀行、證券公司和保險公司進行整合,並解決保護使用者隱私權的問題。 |
美國 | HIPAA, Health Insurance Portability and Accountability Act | 醫療單位 | 法案的目的是促進醫療健康產業善加利用新科技,並為醫療資訊的安全和隱私建立屏障 |
美國 | HITECH, Health Information Technology for Economic and Clinical Health 經濟與臨床健康資訊科技法案 | 醫療單位 | 法案的目的是促進醫療健康產業善加利用新科技,並為醫療資訊的安全和隱私建立屏障 |
歐盟 | GDPR, General Data Protection Regulation | 個資保護 72小時內通知 被遺忘權 可移植性 跨境資訊共用的兩個選擇: a. 組織可能會採用一套標準合同條款,這些條款已被批准用於將資訊傳輸到歐盟以外的情況; b. 組織可能會採用具有約束力的公司規則來規範同一公司內部單位之間的資料傳輸。 | |
美國 | COPPA 兒童網路隱私保護法 | 兒童隱私保護:13歲以下兒童資訊要需要取得父母同意才可以取得 | |
美國 | 經濟間諜法 | 對任何因竊取美國公司的商業機密而被判有罪的人處以罰款和監禁 | |
CALEA,執法通訊協助法 | 《執法通訊協助法》(CALEA) 要求所有通訊運營商都允許對擁有適當法院命令的執法人員進行竊聽。 | ||
FERPA | 家庭教育權利和隱私法案 (FERPA) 保護接受任何形式聯邦資助的任何教育機構中學生的隱私。 | ||
CFAA | 計算機欺詐和濫用法案 (CFAA) 提供了具體的保護由政府機構運營的系統。 | ||
加州在線隱私保護法 California Online Privacy Protection Act | 加州在線隱私保護法要求從加州用戶那裡收集個人信息的商業網站顯著地張貼隱私政策。該法案不要求遵守歐盟 GDPR,也不使用 GDPR 的通知或選擇概念,也不要求對所有個人數據進行加密。 |
再來有一個很重要的觀念也是必須要知道的,就是盡責審查 (Due Diligence)和盡責關心 (Due Care)的定義與差別
Due Diligence :OSG:盡職調查原則是應有註意的一個更具體的組成部分,它規定被分配責任的個人應盡職盡責,以準確及時地完成任務。
盡責審查通常包括以下步驟:
確定相關法律、法規和標準:盡責審查的第一步是確定所有相關的法律、法規和標準,以便更好地了解信息資產的法律和合規要求。
評估風險:盡責審查要求對可能影響信息資產的風險進行評估,以便制定相應的風險管理策略。
評估和選擇技術解決方案:盡責審查需要評估和選擇適當的技術解決方案,以保護信息資產的機密性、完整性和可用性。
建立和維護監控和審計機制:盡責審查需要建立和維護監控和審計機制,以確保信息資產的安全狀態得以持續追蹤和評估。
總的來說,盡責審查是指在採取任何行動之前,對信息資產進行全面的評估和研究,以確保符合相關的法律、法規和標準,並最小化風險。
Due Care : OSG:應有的注意原則指出,個人應以任何合理的人所期望的相同水平的注意來應對情況。這是一個非常廣泛的標準。
“Due Care”通常涉及以下方面:
確定法律、
法規和標準:組織必須了解所有相關的法律、法規和標準,並確保其信息資產符合這些要求。
制定策略和程序:組織必須制定合適的策略和程序,以保護信息資產免受威脅和攻擊。
提供培訓和意識:組織必須提供培訓和意識活動,以確保員工了解相關的安全政策和程序,並知道如何處理潛在的風險和威脅。
建立安全監控和審計機制:組織必須建立安全監控和審計機制,以確保信息資產的安全狀態能夠持續地追蹤和評估。
總之,”Due Care”是指組織必須採取適當的措施,以確保其信息資產免受潛在的威脅和攻擊,並符合相關的法律、法規和標準。與”Due Diligence”不同的是,”Due Care”更侧重于組織采取實際措施來保護信息資產的安全。
Due Diligence 盡責審查 :比較常用在要併購其他企業或是要採購某項東西的時候對於對方的調查。
最後是身為CISPP必須要遵守的道德規範
ISC2道德守則: https://www.isc2.org/Ethics
- 保護社會、公共利益與基礎設施,贏得必要的公眾信心與信任(Protect society, the common good, necessary public trust and confidence, and the infrastructure)
- 行事端正、誠實、公正、負責、守法(Act honorably, honestly, justly, responsibly, and legally)
- 勤奮盡責、專業勝任(Providediligentandcompetentservicetoprincipals)
- 推動行業發展、維護職業聲譽(Advanceandprotecttheprofession)
以下是考試中的一些坑
投訴者,須為受害者
需指出受害者身份
指出CISSP違反原則(第三條,雇主/第四條,同為CISSP)
而且被投訴者也必須要是CISSP
下一篇 : CISSP 心得 7-(淺談資產保護)