第3章(业务连续性计划)与第4章(法律、法规和合规)的内容我合并了一下,其中业务连续性计划是核心要点,它对于确保企业在面临各种挑战时能够持续稳定运营至关重要。在安全运营章节同样会涉及BCP的内容。当然,在学习的过程中,我们也不得不提到法律法规,尽管这部分内容可能相对枯燥,但它为企业安全合规提供了必要的框架和指导,因此也是不可或缺的一部分。
第3章、业务连续性计划
1、 BCP 过程的四个步骤。
BCP 包括四个不同阶段:项目范围和计划、业务影响分析、 连续性计划,以及计划批准和实施。每项任务都有助于确保紧急情祝下业务持续运营的总体目标的实现。
2、 如何执行业务组织分析。
在业务组织分析中,负责领导 BCP 过程的人员确定哪些部门和个人参与业务连续性计划。该分析是选择 BCP 团认的基础,经BCP 团队确认后,用于指导 BCP 开发的后续阶段。
3、 列出 BCP 团队的必要成员。
BCP 团队至少应包括:来自每个运营和支持部门的代表, IT 部门的技术专家,具备 BCP 技能的物理和 IT 安全人员,熟悉公司法律、监管和合同责任的法律代表,以及高级管理层的代表。其他团队成员取决于组织的结构和性质。
4、 BCP 人员面临的法律和监管要求。
企业领导必须实施尽职审查,以确保在灾难发生时保护股东的利益。某些行业还受制于联邦、州法规和地方性规定对 BCP 程序的特定要求。 许多企业在灾难发生前后都有必须履行的客户合约义务。
5、 业务影响分析过程的步骤。
业务影响分析过程的五个步骤是:确定优先级、风险识别、可能性评估、影响分析和资源优先级排序。
6、 连续性策略的开发过程。
在策略开发阶段, BCP 团队确定要减轻哪些风险。在预备和处理阶段,设计可降低已识别风险的机制和程序。然后,该计划必须得到高级管理层的批准并予以实施。人员还必须接受与他们在 BCP 过程中的角色相关的培训。
7、将组织业务连续性计划全面文档化的重要性。
将计划记录下来,可在灾难发生时给组织提供一个可遵守的书面程序。这样可确保组织在紧急情况下有序实施计划。
第4章、法律、法规和合规
1、 刑法、民法和行政法的区别。
刑法使社会免受违反我们信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州政府进行起诉。民法为人与组织之间的商业交易提供了框架。违反民法的行为特通过法庭,由受影响的当事人进行辩论。行政法是政府机构用来有效地执行日常事务的法律。
2、 使社会免受计算机犯罪影响的主要法律的基本条款。
《计算机欺诈和滥用法案》(修正案)保护政府或州际贸易中使用的计算机,使其不被滥用。《电子通信隐私法案》 (ECPA) 规定,侵犯个人的电子隐私的行为是犯罪行为。
3、 版权、商标、专利和商业秘密之间的区别。
版权保护创作者的原创作品,如书籍、 文章、诗歌和歌曲。商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。商业秘密法保护企业的经营秘密。
4、 1998 年颁布的《数字千年版权法》的基本条款。
《数字千年版权法》禁止绕过 数字媒体中的版权保护机制的行为,并限制互联网服务提供商对用户活动的责任。
5、 《经济间谍法案》的基本条款。
《经济间谍法案》对窃取商业秘密的个人进行惩罚。 当窃取者知道外国政府将从这些信息中获益而故意为之时,会受到更严厉的惩罚。
6、 不同类型的软件许可协议。
合同许可协议是软件供应商和用户之间的书面协议。开 封生效许可协议被写在软件包装上,在用户打开包装时生效。单击生效许可协议包含在软件包中,但要求用户在软件安装过程中接受这些条款。
7、对遭受数据破坏的组织的通告要求。
加州颁发的 SB 1386 是第一个在全州范围内要求将信息泄露的情况通知当事人的法律。美国目前大多数州通过了类似法律。目前,联邦法律只要求受 HIPAA 约束的实体在其保护的个人健康信息被破坏时将相关事实通知 到个人。
8、 美国、欧盟和加拿大管理个人信息隐私的主要法律。
美国有许多隐私法律会影响政 府对信息的使用以及特定行业(如处理敏感信息的金融服务公司和医疗健康组织)的信息使用。欧盟有非常全面的《通用数据保护条例》来管理对个人信息的使用和交换。在加拿大,《个人信息保护和电子文件法》 (PIPEDA)管理个人信息的使用。
9、 全面合规程序的重要性。
大多数组织都受制千与信息安全相关的各种法律和法规要求。构建合规性程序以确保你能实现并始终遵守这些经常重控的合规需求。
10、如何将安全纳入采购和供应商管理流程。
许多组织广泛使用云服务,需要在供应商选择过程中以及在持续供应商管理过程中对信息安全控制进行审查。
11、确定信息保护的合规性和其他要求。
网络安全专业人员必须能够分析情况并确定适用的司法管辖区和法律。他们必须能够识别相关的合同、法律、监管和行业标准,并根据特定情况对其进行解释。
12、 法律和监管问题以及它们与信息安全的关系。
-
- 网络犯罪和数据泄露,并能够在事件发生时将它们应用到环境中。
- 哪些许可和知识产权保护适用于组织的数据以及在遇到属于其他组织的数据时应承担的义务。
- 与跨国界传输信息相关的隐私和出口管制问题。