安全与风险 错题点

Gramm-Leach-Bliley法案：也就是1999年的金融现代化法案，它是在美国颁布的一项联邦法律，它规定了金融机构处理个人私密信息的方式。

国际安全港Safe Harbor：商务部负责管理实施，是2000年12月美国商业部跟欧洲联盟建立的协议，它用于调整美国企业出口以及处理欧洲公民的个人数据（例如名字和住址）。

安全港协议要求：收集个人数据的企业必须通知个人其数据被收集，并告知他们将对数据所进行的处理，企业必须得到允许才能把信息传递给第三方，必须允许个人访问被收集的数据，并保证数据的真实性和安全性以及采取措施保证这些条款得到遵从。

棱镜计划：2007年开始实施，美国情报部门可直接进入美国互联网公司的中心服务器，随心所欲地挖掘数据、收集情报。https://www.cnblogs.com/svennee/p/4091499.html

爱国者法案：2001年，使用适当之手段来阻止或避免恐怖主义以团结并强化美国的法律，这个法案以防止恐怖主义的目的扩张了美国警察机关的权限。根据法案的内容，警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录。

萨班斯法案SOX：管理上市公司的财务报表，确保完整性

数字千禧年版权法案：组织挫败版权保护机制的企图，限制了当网络服务提供商的线路被罪犯用来违反版权法时应当承担的责任。

安全策略：方针（最高级别的管理层陈述），标准（强制性），指南（建议性），基线，程序（具体怎么做，遵守标准的一步步指示）

联邦量刑指南：高级行政管理层对信息安全事件负有个人责任–谨慎人原则

计算机安全法案SCA：为联邦机构设置了安全要求基准，涉及敏感信息的人员要定期培训

联邦信息安全管理法案：要求包括承包商在内的政府部门的活动在安全管理项目中。

政府信息安全改革法案

健康保险流通与责任法案HIPPA
关于经济和临床健康的卫生信息技术法案HITEC
儿童联机隐私保护法案COPPA
支付卡行业数据安全标准PCI DSS

业务连续性计划和灾难恢复计划都是主动的，应该包括预防性、检查性和纠正性控制。
业务连续性计划是最关键的纠正性控制，依赖其他控制发挥作用，尤其是意外管理（预防性）和介质备份（纠正性）。

业务连续性计划BCP：
1.项目范围和计划编制：业务组织分析（确定参与BCP的部门和人员），BCP团队选择，资源要求，法律法规要求
2.业务影响评估BIA：确定业务优先级（以货币形式为资产分配AV），风险识别，可能性评估，影响评估，资源优先级划分
3.连续性计划：策略开发（为BIA和连续性计划搭起桥梁），预备和处理，
4.批准和实现：申请高级管理层批准
5.培训和教育
6.文档化

RAID使用额外的硬盘驱动器来保护服务器，负载均衡和集群需要增加服务器。

战略计划：长期，定义了组织目标
战术计划：中期，提供实现战略计划所提出目标的详细细节，一年有效。如项目计划、采购计划、预算计划、维护计划、支持计划、系统开发计划
操作计划：短期，每个月/季度更新，如培训计划、系统部署计划、产品设计计划

威胁建模的关注点是：攻击者，软件，资产

3A：身份标识，身份认证Authentication，授权Authorization