iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 9
0
Security

CISSP 快速入門系列 第 9

[Day09]法規篇

CISSP 不是律師。

但我們要知道法規的精神以及應用場景。

不然被稽核的時候就嗆不回去了

先來看電腦犯罪的三大分類:

電腦犯罪分類

  1. 電腦輔助犯罪
    使用電腦作為工具,電腦就是兇器這樣。

  2. 針對電腦犯罪
    針對電腦型的攻擊手法,如DDoS、APT...電腦就是受害者。

  3. 電腦相關攻擊
    可能很巧合兇手的血剛好沾到電腦螢幕這樣,電腦可能是目擊證人。

法規

  • 經濟合作與發展組織(OECD)法規
    全球性組織,簡稱經合組織,定義了組織及個資合理的取得、利用及保護
    1.蒐集限制:用不到的資料不蒐集
    2.資料品質:一定要是正確的
    3.商業目的:只蒐必要的
    4.使用限制:只在目的部門使用
    5.安全原則:符合ISO27001
    6.公開透明:蒐集流程公開透明
    7.有機會參與:可要求變更及刪除
    8.有規則過程記錄,出事會有人負責

  • 歐盟通用資料保護規則(GDPR)法規
    符合跨境傳輸要求。
    去識別化,不要跟歐洲人做生意就可以不遵守了… =v=|||

  • 安全港(Safe Harbor)協議
    歐盟與美國間關於隱私法的協議,允許歐洲聯盟和美國雙方企業與個人能流通個人可識別資料的原則。

  • 民法(Civil Law)
    ex.高階主管(Executives)沒有妥善保護其公司的資產和資訊系統…

  • 刑法(Criminal Law)
    危害社會的行為,通常處以監禁等型法。殺人放火之類的…

  • 共同標準(Common)

  • 民俗法
    新加坡上廁所也有 150 新元的罰鍰…

  • 行政法

  • 智慧財產權法

    • 商業祕密法(Trade Secret)
      對於企業獲取利潤價值的祕密資產

    • 版權保護法(Copy right)
      寫完就產生了

    • 商標法(Trade Mark)

    • 專利法(Patent)
      最強的智慧財產權保護,專利,排他性很強,會過期。

  • 軟體授權

    1. 免費軟體:不受限制的使用、重製、發佈
    2. 試用軟體:提供受限制的試用版本軟體
    3. 學術軟體:以學術目的而提供成本較低的版本軟體
    4. 商務軟體:以商業目的而提供的軟體
  • 個人可識別資訊(Personal Identification Information)
    簡稱個資法。

產業法規

  • 醫療保險轉移和責任法(HIPPA)
    聚焦在電子保護健康資訊。

  • 支付卡產業資料安全標準(PCI-DSS)
    PCI-DSS 12 項:
    老師說背起來未來你就有機會稽.稽核了
    1.安裝及維護防火牆配置,以保護持卡人的資料。
    2.對於系統密碼和其他安全參數,不使用供應商提供的預設值。
    3.保護已儲存的持卡人資料。
    4.當您透過開放的公用網路傳輸持卡人資料時將資料加密。
    5.使用並定期更新防毒軟體程式。
    6.開發及維護安全系統與應用程式。
    7.根據商業使用須知,限制存取卡持人資料。
    8.指派唯一 ID 給有權存取電腦的每一位人員。
    9.限制對持卡人資料的實體存取。
    10.追蹤及監視對網路資源和持卡人資料的所有存取。
    11.定期測試安全系統和處理程序。
    12.維護含有員工和承包商資訊安全的安全原則。

  • 沙賓法案(SOX)
    監督內線交易,監督受證券法約束之上市公司的審核及相關事務,以保護投資者利益。


上一篇
[Day08]人資篇
下一篇
[Day10]我的夢幻機房
系列文
CISSP 快速入門32

尚未有邦友留言

立即登入留言