1. Compliance Reporting

確定組織遵守法規規範、企業最佳實踐佮內部政策。

• Internal：
  定期通知內部 stakeholders 佮管理者關於組織遵守法規的情情況。
• External：
  交予外部主管機關抑是審計單位。像 GDPR、PCI HIPAA 這寡單位會要求年報抑是 on-request reporting。

2. Consequences of non-compliance

沒遵守法規 ē 後果：

• Fines：
  GDPR 第 83 條根據無遵守法規嚴重程度制定罰金。
• Sanctions：
  比罰金 koh 較嚴重的處罰，像限制營業，甚至犯罪起訴。
• Reputational damage：
  會造成失去客戶信賴佮收入損失。
• Loss of license：
  有一寡情形，沒遵守法規會造成商業職照抑是營業執照予吊銷。
• Contractual impacts：
  沒遵守法規可能會造成 contractual breaches，受到處罰抑是合作關係中止。

3. Compliance monitoring

• Due diligence/care：
  評估佮降低佮廠商、系統、資料處理相關的資安風險。
• Attestation and acknowledgement：
  一个組織保證遵守法規的正式的認可佮確認。
• Internal and external：
  內部佮外部審核者定期評估資安控制的效率佮 chhōe-chhut 需要改進的部分。
• Automation：
  利用 SIEM 佮 SOAR 工具、vulnerability sacnners 佮其他自動化工具 會用得提高 compliance monitoring 的效率。

4. Privacy - Regulation

Legal implications
佮組織相關的隱私權法律，從區域到全球的影響。

• Local/regional
  注重特別的管轄區域，佮特殊的社會文化。美國加州 California Consumer Privacy Act(CCPA) 予加州人 koh 較大的個人資料控制權。
• National
  美國 HIPAA 保護個人健康資料隱私權。
• Global
  EU 的 GDPR 適用任何組織(包括歐洲以外的組織)處理 EU 公民的資料。

5. Privacy - Data

Ùi 遵守法規的觀點來看資料：

• Data subject
  資料予收集的任何人。應該 ài 尊重 data subject 提取、改正、刪除𪜶的資料的權利。
• Data controller versus data processor
  Data controller 制定資料處理的目的佮方法。Data processor 代替 data controller 處理資料。
• Ownership
  決定 siâng 對組織的特殊資料有 siông-hāu 的控制佮決定權。
• Data inventory and retention
  Data inventory 系統性的紀錄資料，包括伊的位置、型態佮 usage。Data retention 說明資料處理掉進前須要保存 lōa-kú。
• Right to forgotten
  Data subject 要求組織刪除𪜶的個人資料的權利。