CISSP 第4章：法律、法规和合规

4 . 1 法律的分类

了解刑法、民法和行政法的区别。

1. 刑法保护社会免受违反我们所信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦政府和州政府进行起诉。
2. 民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭，由受影响的当事人进行辩论，
3. 行政法是政府机构有效的执行日常事务的法律。

4 . 2 法律

 
4.2 . 1 计算机犯罪

1 计算机诈骗和滥用法案 CFAA(1984)

CFAA《计算机欺诈和滥用法案》保护政府或州际贸易中使用的计算机不被滥用。这条法律经过精心编写， 专门用于跨越州边界的计算机犯罪， 避免违反州的权力和
践踏宪法。

2. CFAA 修正案(1994 年)

修改了CFAA， 包含了所有被用于州间贸易的计算机， 而不只是包含用于联邦利益的计算
机系统。

3. 计算机安全法案CSA(1 987 年)

要求包含敏感信息的联邦计算机系统的所有操作人员制定安全计划。
• 要求包含敏感信息的联邦计算机系统所涉及的所有管理、使用和操作人员强制性参加定期
培训。

4.2.2 知识产权

版权保护创作者的原创作品，如书籍、文章、诗歌和歌曲。商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。商业密码法规保护企业的经营秘密。

1 . 版权和数字干禧年版权法案

软件版权属于文学作品这一类。然而， 注意到下面这一点很重要: 版权法只保护计算机软件中
内在的表达方式， 也就是实际的源代码， 不保护软件背后的思想或过程。

在1998 年， 美国国会认识到迅速变化的数字技术正在延伸至现行的版权法。为了迎接这个挑战，
他们制定了引起广泛讨论的数字干禧年版权法案(Digital Millennium Copyright Act DMCA)。 DMCA还被用于使美国的版权法符合世界知识产权组织（world Intellectual Property Organization， WIPO)条约中的两个条款。
DMCA 的第一个主要条款是阻止那些挫败版权保护机制的企图， 这些保护机制由版权所有者用
于受保护的作品。这个条款被设计用于保护阻止复制数字介质的机制。

2. 商标

3. 专利权

4. 商业秘密

5. 许可证

许可证具有下列4 种类型:
• 合同许可证协议在软件商和用户之间采用书面的合同概述双方的责任。这些协议常见于高
价的和/或特别专用的软件包。
• 收缩性薄膜包装的许可证协议是写在软件包装外面的协议。由于常常规定撕开封装软件包
的收缩薄膜包装就承认了合同条款， 因而得名。
• 单击包装许可证协议比收缩性薄膜包装协议更普遍。在这种协议类型中， 合同条款或者写
在软件包装盒外， 或者包括在软件文档中。在安装过程中， 你被要求单击一个按钮， 表示
己经阅读了协议条款并且同意遵守这些条款。这为协议的认同过程增添了积极的认可， 确
保使用者在安装之前知道协议的存在。
• 云服务许可协议让单击协议走向了极端。大部分云服务不需要任何形式的书面协议， 而是
在屏幕上简单闪现法律条款供检阅。

统一计算机信息处理法案(UnifOlm Computer Information Transactions Act， UCITA)是被所有50
个州都采纳的美国联邦法律， 它提供了计算中几相关业务处理行为的共同架构。UCITA 包括对软件许可证颁发的规定。UCITA 条款对先前可疑的收缩性薄膜包装许可证和单击包装许可证颁发行为提供了法律援助， 从而将它们变为有法律约束力的合同。UCITA 还要求生产制造者为软件用户提供选择，用户可以在完成安装过程之前拒绝许可证协议的条款， 并且能够收到软件订购价格的全额退款。

4.2.3 进口/出口

4.2.4 隐私

1.美国隐私法

第四修正案隐私权的基础是美国宪法的第四修正案， 内容如下所示:
人们保护其人身、房屋、证件和财物不受无理搜查和没收的权利不应当被违反， 并且这些违反
行为不应得到投权批准， 但是那些可能性很大的原因、受到誓词或证词支持的、特别描述的需要搜查的地方和需要被逮捕或扣押的人或物品除外。

隐私法案(1 974 年)

电子通信隐私法案(1 986 年)

执法通信协助法案(1 994年)

经济和专有信息保护法案(1 996年)

健康保险流通与责任法案(1 996 年) HIPAA 

2009 关于经济和临床健康的卫生信息技术法案在2009 年， 美国国会通过了" 关于经济和临
床健康的卫生信息技术法案(Health Infomation Technology for Economic and Clinical Health，
HITECH)"来修订HIPAA。

儿童联机隐私保护法案(1 998 年) 2000 年4 月， 儿童联机隐私保护法案(αúldren's Online
Privacy Protection Act， COPPA)中的规定成为美国本土的法律。

Gramm-Leach也liley 法案(1 999 年) 直到Gramm-Leach-Bliley Act(GLBA)法案于1999 年成为
法律， 在商业机构之间才形成了严格的政府屏障。银行、保险公司和贷款提供商受到对他们所能提供的服务和相互共享的信息的严格限制。

美国爱国者法案(2001 年)

子女教育权利和隐私法案

身份偷窃和冒用阻止法案(1 998 年)

2. 欧盟隐私法

4.3 合规性

支付卡行业数据安全标准σa泸nent Card Industry Data Security Standard， PCI DSS)是一个非法律但有合同义务的优秀合规要求的典范。PCI DSS 管理信用卡信息的安全， 并且有一个商业合同条款，在接受信用卡信息的业务与处理业务交易的银行之间强制执行。

4.4合同与采购