標準、架構、框架及流程

• 標準(Standard)：一系列的角色及框架的實施規範
• 架構(Architecture)：採用資訊安全控管的時機、場景、角色和操作規則
• 框架(Framework)：一系列流程的實施指南
• 流程(Process)：一系列需依步驟完成的任務(Task)

遵守要求

政府方案(Program)需遵循標準方法，對服務做安全評估、授權方式、以及持續監控的，安全評估的標準發展，現存國家安全技術局(NIST)資訊安全800系列的800-53 第三版(NIST Special Publication 800-53 Revision 3)，及聯邦雲端運算安全標準：FedRAMP 的基礎安全控制項 (FedRAMP baseline security controls)。企業需遵循訊息系統和技術控制目標COBIT(Control Objectives for Information and related Technology)。

組織在必須滿足法律，法規和合規要求的環境中運營。

• 合同、法律、工業標準和監管要求
  • 聯邦資訊安全管理法(Federal Information Security Management. Act, FISMA)：必須通過才能處理個人識別驗證PIV(Personal Identify Verification)相關資料。
• 隱私要求
• MITRE的ATT&CK框架是一個資安攻擊的分析框架，包含了隱私處理的方法。

刑法/普通法/私法/民法/聯邦法律

• 刑法：受到監禁，罰款或死刑的懲罰
• 普通法：陪審團作出決定，然後法官決定懲罰
• 私法：處理個人和機構之間的關係， 民法的一部分
• 民法：從未被監禁或執行， 必須償還原告
• 聯邦法律：由憲法，頒布的法律以及與之相關的法院判決組成的法律體系