=Start=

缘由：

备考CISSP，学习、整理在看《CISSP官方学习指南（第7版）》时的一些知识点，方便以后快速复习。

正文：

参考解答：

第4章 法律、法规和合规性

4.1 法律的分类（刑法、民法、行政法）

4.1.1 刑法
刑法形成了法律体系的基石，维护着我们所处社会的和平和安全。

4.1.2 民法
民法形成了法律体系的大部分。它们用于维护社会秩序，并管理不属于犯罪行为但需要一位公正的仲裁者来解决的个人之间和组织之间的问题。

4.1.3 行政法
政府的行政机构要求众多的机构对保证政府功能的有效性担负广泛的责任。这些机构的责任是遵守并执行立法机构制定的刑法和民法。

4.2 法律

4.2.1 计算机犯罪

1.计算机诈骗和滥用法案(1984年，首先制定)
美国国会在1984年首先制定了计算机欺诈和滥用法案(CFAA)，并且通过一些修正后，直到今天仍然在执行。这条法律经过精心编写，专门用于跨越州边界的计算机犯罪，避免违反州的权力和践踏宪法。

2.CFAA修正案(1994年)
在1994年，美国国会认识到自从CFAA于1986年最后一次修正以来，计算机安全的面貌已经发生了彻底的变化，于是对该法案进行了许多次大范围的修改。总的来说，这些变化被称为计算机滥用修正法案。

3.计算机安全法案(1987年)
CFAA在1986年修正之后包括了范围广泛的计算机系统，美国国会将注意力转向了内部，并且调查了当前联邦政府系统中计算机安全的状况。美国国会成员对他们看到的情况很不满意，进而制定了计算机安全法案(CSA，1987年)，为所有的联邦机构设置了安全要求基准。

4.美国联邦判决指导方针
1991年发布的美国联邦判决指导方针提供了处罚指导方针，从而帮助联邦法官解释说明计算机犯罪的相关法律。

5.美国国家信息基础设施保护法案(1996年)

6.文书精简法案(1995年)

7.政府信息安全改革法案(2000年)

8.美国联邦信息安全管理法案

4.2.2 知识产权

1.版权和数字干禧年版权法案(DMCA)
版权法保护”原创作品”的创作者，防止创作者的作品遭到未经授权的复制。目前有下列8种主要的作品类别受到版权保护：
• 文学作品(软件版权属于这一类)
• 音乐作品
• 戏剧作品
• 哑剧和舞蹈作品
• 绘画、图形和雕刻作品
• 电影和其他音像作品
• 声音录音
• 建筑作品
软件版权属于文学作品这一类。然而，注意到下面这一点很重要：版权法只保护计算机软件中内在的表达方式，也就是实际的源代码，不保护软件背后的思想或过程。

2.商标
版权法被用来保护创造性的作品，对于商标也有保护。商标是单词、口号和标志语，被用于标识某家公司及其产品或服务。保护商标的主要目的是在保护个人和组织的知识产权时避免市场发生混乱。与版权的保护一样，为了获得法律的保护，商标不需要正式注册。如果在公众活动期间使用了商标，那么你会自动受到相关商标法的保护，并可以使用TM符号来表示出想要保护作为商标的单词或口号。

3.专利权
专利权是保护发明者的知识产权。他们提供20年的保护，在这期间发明者具有独家使用发明的权力(无论是直接使用还是通过许可协议)。在专利专用期结束时，该发明在公共领域允许任何人使用。
专利权有下列三个主要的要求：
•该发明必须是新的。只有在发明是原始创意时，才能申请专利。
•该发明必须是有用的。它必须能够实际工作并完成某种类型的任务。
•该发明不能是显而易见的。例如，你不能为你的主意(即使用喝水的杯子收集一杯雨水)而获得专利权。然而，你可以设计一个特殊的杯子，能优化收集到的雨水，并且将蒸发量减到最少，这个解决方案就可以获得专利。
在技术领域中，专利权已经被长期用于保护硬件设备和制造过程。

4.商业秘密
很多公司都有知识产权，这对于他们的业务绝对关键，并且如果泄露给竞争对手和/或公开，那么就会导致相当大的损害。换句话说，这也就是商业秘密。官方关于商业秘密的处理过程实际上没有那么多，就它们的本质而言，不必向任何人登记，而是自己保持秘密。为了保持秘密，必须对企业实施适当的控制，确保只有经授权的需要了解这些秘密的人才可以访问这些秘密。还必须确保任何具有这类访问能力的人遵守不泄漏协议(NonDisclosureAgreement，NDA)以防止与他人共享，并且对违背协议的行为进行处罚。向律师咨询一下，确保协议能够持续法律准许的最长时间。此外，必须采取措施来证明你的价值，并保护你的知识产权。如果不这样做，可能会导致商业秘密保护的损失。商业秘密保护是保护计算机软件的一种最好方法。

5.许可证
安全专家还应当熟悉软件许可证颁发协议的相关法律问题。

4.2.3 进口/出口

1.计算机出口控制

2.加密产品出口控制

4.2.4 隐私

1.美国隐私法

第四修正案：隐私权的基础是美国宪法的第四修正案。这个修正案的直接解释防止了美国政府机构在缺乏授权批准和可能性很大的原因的情况下对私有财产进行搜查。一些美国法院己经扩展了其对第四修正案的解释，包括针对窃听和侵犯其他隐私的防护。

隐私法案(1974年)：美国的隐私法案(1974年)可能是对美国联邦政府处理公民个人私有信息的方法进行限制的最重大的隐私立法，它严格地限制了美国联邦政府机构在没有事先得到当事人书面同意的情况下向他人或其他机构泄漏隐私信息的能力。这个法案还规定了一些例外，涉及人口普查、执法、国家档案、健康和安全以及法院判决。隐私法案要求政府机构只维护那些对于管理其业务必要的记录，并且在政府的合法职能不再需要时销毁这些记录。它为个人对这些政府维护的记录进行访问并要求修正不正确的记录规定了正式的程序。

电子通信隐私法案(1986年)：电子通信隐私法案(ElectronicCommunicationPrivacyAct，ECPA)使得对个人电子隐私的侵犯成为犯罪行为。

……

儿童联机隐私保护法案(1998年)：2000年4月，儿童联机隐私保护法案(Children’s Online Privacy Protection Act，COPPA)中的规定成为美国本土的法律。（如果孩子的年龄小于 13 岁 ，那么在收集信息前，父母必须对有关孩子信息的收集做出可证实的允许。）

Gramm-Leach-Bliley法案(1999年)：直到Gramm-Leach-BlileyAct(GLBA)法案于1999年成为法律，在商业机构之间才形成了严格的政府屏障。银行、保险公司和贷款提供商受到对他们所能提供的服务和相互共享的信息的严格限制。

2.欧盟隐私法

4.3 合规性

支付卡行业数据安全标准 (Payment Card Industry Data Security Standard, PCIDSS)是一个非法律但有合同义务的优秀合规要求的典范。

4.4 合同与采购

供应商管理审查中覆盖的一些问题包括：

• 什么类型的敏感信息应该由供应商存储、处理或发送?
• 在部署保护组织信息时有什么样的控制措施?
• 组织的信息如何与其他客户的信息分开?
• 如果加密是一种值得信赖的安全控制措施，那么我们要用什么样的加密算法和密钥长度?密钥管理如何进行?
• 供应商执行了什么类型的安全审计?客户访问这些审计必须做什么?
• 供应商是否依赖于任何其他第三方来存储、处理或传输数据?如何处理扩展到第三方与安全有关的合同条款?
• 数据存储、处理和传输发生在什么地方?如果客户或供应商在国外，会有什么影响?
• 供应商的事件响应流程是什么?什么时候将会通知客户存在潜在安全泄露?
• 在确保客户数据的持续完整性和可用性方面有什么条款?

上面也许只是你关注的一些简要清单。需要裁剪组织专门关注的安全审查范围、供应商提供的服务类型以及与他们共享的信息。

4.5 本章小结

计算机安全必然需要合法团体的高度介入。在本章中，你己经学习了管理安全问题(如计算机犯罪、知识产权、数据隐私和软件许可证颁发)的大量法律。

有三大类法律影响到信息安全专家。刑法概述了规则和对公信度重大违反的制裁。民法为我们提供了一个商业处理的框架。政府机构使用行政法来颁布日常条例，解释现有法律。

管理信息安全活动的法律是多种多样的，并且覆盖了所有的三大类别。一些法律，例如，电子通信隐私法案和数字千禧年版权法案是刑法，违反可能导致刑事罚款或监禁。其他法律，如商标和专利法，是管理商业交易的民法。最后，许多政府机关颁布的行政法，如安全规则，它们影响着特定行业和数据类型。

信息安全专家应该了解他们的特定行业和商业活动的合规需求。遵守这些要求是一个很复杂的任务，并应分配给一个或多个合规专员，去监控法律中的变化、商业环境中的变化以及这两个领域交集中的变化。

简单地担心自己的安全性和合规性也是不够的。随着越来越多地采用云计算，许多组织现在与那些作为服务提供商的供应商分享敏感信息和个人数据。安全专家必须采取措施，以确保供应商处理数据时像公司自己处理数据一样仔细，井且符合任何适合的合规性要求。

考试要点：

了解刑法、民法和行政法之间的差别。刑法保护社会免遭那些违反我们信奉的基本原则的行为。违反刑法的行为是由美国联邦和州政府进行起诉的。民法提供了个人和组织之间的商业交易体制。违反民法的行为被提交法院并由受到影响的双方进行辩论。行政法是由政府机构使用的，目的是为了有效地执行日常事务。

能够解释用来保护社会免遭计算机犯罪影响的主要法律的基本条款。计算机诈骗和滥用法案(修正案)保护政府或州间贸易使用的计算机不被滥用。计算机安全法案概括了政府为了保护自己的系统免遭攻击而必须采取的措施。政府信息安全改革法案进一步发展了美国联邦政府信息安全程序。

了解版权、商标、专利权和商业秘密之间的差别。版权保护创作者的原创作品，如书籍、文章、诗和歌曲。商标是名称、口号和徽标，用于杭只公司、产品或服务。专利权为新发明的创作者提供保护。商业秘密法律保护公司的运营机密。

能够解释数字千禧年版权法案(1998年)的基本条款。数字千禧年版权法案禁止绕过针对数字介质的复制保护机制，并限制网络服务提供商对于其用户行为的责任。

了解经济间谍法案(1996年)的基本规定。经济间谍法案对任何被发现偷盗商业秘密的人进行处罚。在盗窃者知道这些信息将为外国政府获利时，他会被处以严厉的处罚。

理解不同类型的软件许可证协议。合同许可证协议是软件商和用户之间采用的书面协议。收缩性薄膜包装协议写在软件包装上，并且在用户打开包装时生效。单击包装协议包括在包装中，但是需要用户在软件安装过程中接受这些条款。

解释关于软件许可证颁发的统一计算机信息法案。统一计算机信息处理法案提供了由美国联邦和州政府强制执行的收缩性薄膜包装和单击包装协议的架构。

理解一个经历数据破坏的组织的通告要求。加利福尼亚外版布的SB1386是第一个在全州范围内要求通告个人信息被泄漏到当事人的法律。美国目前除了三个州以外的其他外|都最终审议通过了相似的法律。目前，只有当涉及PPA覆盖的实体破坏了它们保护的健康信息时，联邦法律才要求需要通知个人。

理解在美国和欧盟管理个人信息隐私的主要法律。美国有很多影响政府对信息的使用以及控制涉及敏感信息的具体行业(如金融服务公司和卫生健康组织)对信息使用的隐私法律。欧盟对数据隐私有着更加广泛的法令，以管理个人信息的使用和交换。

了解法庭上可接纳的证据的基本要求。要被接纳，证据就必须与本案发生的事实相关，事实必须对本案是必要的，并且证据必须有法定资格或是合法收集的。

了解怎么把安全整合到采购和供应商管理流程中。被许多组织大量使用的云服务，就要求更加注意在供应商选择过程中，以及作为供应商持续管理的一部分，引导信息安全控制的审查。

参考链接：

• CISSP官方学习指南第7版（中文）-文字版带完整书签

=END=