Gramm-Leach-Bliley法案:也就是1999年的金融現代化法案,它是在美國頒佈的一項聯邦法律,它規定了金融機構處理個人私密信息的方式。
國際安全港Safe Harbor:商務部負責管理實施,是2000年12月美國商業部跟歐洲聯盟建立的協議,它用於調整美國企業出口以及處理歐洲公民的個人數據(例如名字和住址)。
安全港協議要求:收集個人數據的企業必須通知個人其數據被收集,並告知他們將對數據所進行的處理,企業必須得到允許才能把信息傳遞給第三方,必須允許個人訪問被收集的數據,並保證數據的真實性和安全性以及採取措施保證這些條款得到遵從。
棱鏡計劃:2007年開始實施,美國情報部門可直接進入美國互聯網公司的中心服務器,隨心所欲地挖掘數據、收集情報。https://www.cnblogs.com/svennee/p/4091499.html
愛國者法案:2001年,使用適當之手段來阻止或避免恐怖主義以團結並強化美國的法律,這個法案以防止恐怖主義的目的擴張了美國警察機關的權限。根據法案的內容,警察機關有權搜索電話、電子郵件通訊、醫療、財務和其他種類的記錄。
薩班斯法案SOX:管理上市公司的財務報表,確保完整性
數字千禧年版權法案:組織挫敗版權保護機制的企圖,限制了當網絡服務提供商的線路被罪犯用來違反版權法時應當承擔的責任。
安全策略:方針(最高級別的管理層陳述),標準(強制性),指南(建議性),基線,程序(具體怎麼做,遵守標準的一步步指示)
聯邦量刑指南:高級行政管理層對信息安全事件負有個人責任–謹慎人原則
計算機安全法案SCA:爲聯邦機構設置了安全要求基準,涉及敏感信息的人員要定期培訓
聯邦信息安全管理法案:要求包括承包商在內的政府部門的活動在安全管理項目中。
政府信息安全改革法案
健康保險流通與責任法案HIPPA
關於經濟和臨牀健康的衛生信息技術法案HITEC
兒童聯機隱私保護法案COPPA
支付卡行業數據安全標準PCI DSS
業務連續性計劃和災難恢復計劃都是主動的,應該包括預防性、檢查性和糾正性控制。
業務連續性計劃是最關鍵的糾正性控制,依賴其他控制發揮作用,尤其是意外管理(預防性)和介質備份(糾正性)。
業務連續性計劃BCP:
1.項目範圍和計劃編制:業務組織分析(確定參與BCP的部門和人員),BCP團隊選擇,資源要求,法律法規要求
2.業務影響評估BIA:確定業務優先級(以貨幣形式爲資產分配AV),風險識別,可能性評估,影響評估,資源優先級劃分
3.連續性計劃:策略開發(爲BIA和連續性計劃搭起橋樑),預備和處理,
4.批准和實現:申請高級管理層批准
5.培訓和教育
6.文檔化
RAID使用額外的硬盤驅動器來保護服務器,負載均衡和集羣需要增加服務器。
戰略計劃:長期,定義了組織目標
戰術計劃:中期,提供實現戰略計劃所提出目標的詳細細節,一年有效。如項目計劃、採購計劃、預算計劃、維護計劃、支持計劃、系統開發計劃
操作計劃:短期,每個月/季度更新,如培訓計劃、系統部署計劃、產品設計計劃
威脅建模的關注點是:攻擊者,軟件,資產
3A:身份標識,身份認證Authentication,授權Authorization