CISSP 不是律師。

但我們要知道法規的精神以及應用場景。

不然被稽核的時候就嗆不回去了

先來看電腦犯罪的三大分類：

電腦犯罪分類

1. 電腦輔助犯罪
   使用電腦作為工具，電腦就是兇器這樣。

2. 針對電腦犯罪
   針對電腦型的攻擊手法，如DDoS、APT...電腦就是受害者。

3. 電腦相關攻擊
   可能很巧合兇手的血剛好沾到電腦螢幕這樣，電腦可能是目擊證人。

法規

• 經濟合作與發展組織(OECD)法規
  全球性組織，簡稱經合組織，定義了組織及個資合理的取得、利用及保護
  1.蒐集限制：用不到的資料不蒐集
  2.資料品質：一定要是正確的
  3.商業目的：只蒐必要的
  4.使用限制：只在目的部門使用
  5.安全原則：符合ISO27001
  6.公開透明：蒐集流程公開透明
  7.有機會參與：可要求變更及刪除
  8.有規則過程記錄，出事會有人負責

• 歐盟通用資料保護規則(GDPR)法規
  符合跨境傳輸要求。
  去識別化，不要跟歐洲人做生意就可以不遵守了… =v=|||

• 安全港(Safe Harbor)協議
  歐盟與美國間關於隱私法的協議，允許歐洲聯盟和美國雙方企業與個人能流通個人可識別資料的原則。

• 民法(Civil Law)
  ex.高階主管(Executives)沒有妥善保護其公司的資產和資訊系統…

• 刑法(Criminal Law)
  危害社會的行為，通常處以監禁等型法。殺人放火之類的…

• 共同標準(Common)

• 民俗法
  新加坡上廁所也有 150 新元的罰鍰…

• 行政法

• 智慧財產權法

  • 商業祕密法(Trade Secret)
    對於企業獲取利潤價值的祕密資產

  • 版權保護法(Copy right)
    寫完就產生了

  • 商標法(Trade Mark)

  • 專利法(Patent)
    最強的智慧財產權保護，專利，排他性很強，會過期。

• 軟體授權

  1. 免費軟體：不受限制的使用、重製、發佈
  2. 試用軟體：提供受限制的試用版本軟體
  3. 學術軟體：以學術目的而提供成本較低的版本軟體
  4. 商務軟體：以商業目的而提供的軟體

• 個人可識別資訊(Personal Identification Information)
  簡稱個資法。

產業法規

• 醫療保險轉移和責任法(HIPPA)
  聚焦在電子保護健康資訊。

• 支付卡產業資料安全標準(PCI-DSS)
  PCI-DSS 12 項：
  老師說背起來未來你就有機會稽．稽核了
  1.安裝及維護防火牆配置，以保護持卡人的資料。
  2.對於系統密碼和其他安全參數，不使用供應商提供的預設值。
  3.保護已儲存的持卡人資料。
  4.當您透過開放的公用網路傳輸持卡人資料時將資料加密。
  5.使用並定期更新防毒軟體程式。
  6.開發及維護安全系統與應用程式。
  7.根據商業使用須知，限制存取卡持人資料。
  8.指派唯一 ID 給有權存取電腦的每一位人員。
  9.限制對持卡人資料的實體存取。
  10.追蹤及監視對網路資源和持卡人資料的所有存取。
  11.定期測試安全系統和處理程序。
  12.維護含有員工和承包商資訊安全的安全原則。

• 沙賓法案(SOX)
  監督內線交易，監督受證券法約束之上市公司的審核及相關事務，以保護投資者利益。