信息技术与伦理/为什么需要合规管理？

合规管理是一个让公司确保其遵守行业标准法规的过程，例如，一套正确的规则和条例，以确保数据以最佳方式得到保护。拥有适当的合规管理也很重要，因为如今公司可以访问大量数据，因此对它们遵循某些合规性至关重要，因此公司会花费大量资金聘请律师等，以确保它们符合规定。一些常见的合规性包括CCPA、FERPA、CMMC等。如果它们所在行业没有遵循上述合规性，它们可能会受到巨额罚款，例如：^[1]

1. 违反HIPAA的罚款范围从每项违规100美元到50000美元不等。
2. 违反PCI DSS的罚款范围从每月5000美元到10000美元不等，直到达到合规为止。
3. GDPR的最高违规罚款为2000万欧元或年度营业额的4%，以较高者为准。

如果公司仍然不遵守，合规罚款往往会倍增。

让我们谈谈受网络安全合规性约束的数据类型，包括^[2]

1. PII数据：包括出生日期、姓名、地址、社会安全号码、母亲的娘家姓等。
2. 财务信息：包括信用卡号码、有效期、CVV、银行账户详细信息、PIN码、信用记录、账户摘要等。
3. PHI数据：包括病史、保险、记录、预约历史、处方记录、医院、入院记录等。

其他类型的信息包括种族、宗教、婚姻状况、生物识别数据、电子邮件地址、用户名、密码等。

拥有一个更好的合规团队对于避免公司遭受数据泄露、保护声誉、防止罚款、维护客户信任等至关重要。根据合规管理生命周期，合规的支柱包括^[2]

1. 攻击面监控：包括查找系统中的漏洞或可能打开后门的错误。
2. 风险优先级排序：一旦发现漏洞，应根据它们可能对数据造成的影响进行优先级排序。
3. 修复风险：一旦优先级排序完成，应立即采取措施修复问题或尽量减少影响。
4. 报告合规工作：这意味着记录为减少或修复问题而采取的措施，以便让高层管理人员和审计人员了解情况。

示例

2012年，安克雷奇社区心理健康服务（ACMHS）遭受软件攻击，导致2743人的受保护健康信息（PHI）公开。该漏洞是因为ACMHS没有应用必要的安全更改和修补程序，导致其系统容易受到攻击。根据美国卫生与公众服务部（HHS）的一项研究，ACMHS因未能采取足够的安全措施并定期进行更新而违反了HIPAA安全规则。

2012年，(ACMHS) 安克雷奇社区心理健康服务数据库遭到攻击，泄露了 2,743 个人的受保护健康信息 (PHI)。这起泄露事件是由于 ACMHS 未能应用必要的安全更新和补丁，导致其系统存在漏洞。美国卫生与公众服务部 (HHS) 进行的调查显示，ACMHS 忽视了安全措施的实施和更新，违反了 HIPAA 安全规则。

ACMHS 被处以 150,000 美元的罚款，并且必须制定一个解决问题的计划。作为该计划的一部分，对所有风险进行了全面审查，并制定了风险管理策略，以防止将来发生泄露事件。该事件表明，严格遵守黑客规则的重要性以及不遵守 HIPAA 规则的严重后果。

通用数据保护条例 (GDPR) 是世界上最全面的隐私和安全法律。它由欧盟草拟并于 2018 年 5 月 25 日实施。它旨在通过对全世界收集欧盟公民数据的组织施加义务和组织来保护欧盟公民的数据。违反 GDPR 规定的条款会导致最高 2000 万欧元的罚款。 通用数据保护条例 (GDPR) 于 2018 年由欧盟颁布。它规范了数据保护，旨在加强数据隐私并增强数据安全。它还依赖于不同的原则，如保密性、问责制和合法性。^[3] GDPR 适用于处理欧盟公民个人数据的企业。实施了许多措施。第一个是执行数据保护影响评估 (DPIA)。采取的下一项措施是指定数据保护官 (DPO) 来监控合规性。组织和技术预防措施相结合，以保障个人数据的安全和隐私，同时 DPO 负责这些方面。在处理任何数据处理之前，组织必须获得同意。在收集和处理个人数据之前，企业必须获得个人的明确同意，这是 GDPR 的关键原则之一。任何在欧盟或欧洲经济区运营的公司，以及任何使用欧盟境内个人个人数据的公司，或跟踪欧盟境内个人行为的公司，均受 GDPR 约束。组织还必须提供全面的隐私声明，并为个人行使个人数据权利提供便利。这包括访问、修改或删除其数据的权利。违反 GDPR 的处罚可能包括最高 2000 万欧元或全球年度营业额的 4% 的罚款，通常以较高者为准。^[4]

据《纽约时报》报道，谷歌因未向用户妥善披露其如何在其服务（如 Google 自己的搜索引擎以及 Google 地图和 YouTube 等服务）中收集数据而被罚款 5000 万欧元。这种处罚被认为是根据欧盟隐私法（即 GDPR）所处以的最大处罚之一。每个处理欧洲公民数据的美国公司都必须遵循一些 GDPR 合规性清单。

• 对欧盟个人数据进行信息审计。
• 告知客户处理其数据的原因。
• 评估数据处理活动并改进保护措施
• 数据控制者应确保与供应商之间存在数据处理协议。
• 应任命一名指定的数据保护官，特别是较大的组织。
• 非欧盟组织需要任命一名驻欧盟成员国之一的代表。
• 在数据泄露事件发生时，应了解职责。
• 组织应遵守跨境转移法律。。

迄今为止 GDPR 的最高罚款

• Meta

因违反儿童隐私而被罚款 4.05 亿欧元，原因是发布了电子邮件地址和电话号码。

• Clearview AI Inc.

一家美国 AI 公司因收集自拍并将这些自拍用于扩展其大约 100 亿张面孔的数据库而被罚款 2000 万欧元。该公司随后将身份验证服务出售给各个行业，包括执法部门。

• Google

在发现搜索引擎巨头将要求删除其数据的欧盟公民的个人信息提供给 Lumen 项目后，西班牙数据保护机构 AEDP 对谷歌处以 1000 万欧元的罚款。AEDP 发现，谷歌提供给数据主体用于行使“被遗忘权”的内容删除表格存在歧义。

在发现搜索引擎巨头将要求删除其数据的欧盟公民的个人信息提供给 Lumen 项目后，西班牙数据保护机构 AEDP 对谷歌处以 1000 万欧元的罚款。AEDP 发现，谷歌提供给数据主体用于行使“被遗忘权”的内容删除表格存在歧义。

• Rewe

一家超市连锁店 Rewe 因在 2022 年违反 GDPR 而被处以 800 万欧元的罚款。

• COPPA

COPPA 是《儿童在线隐私保护法》的缩写，于 1998 年颁布。该法侧重于保护 12 岁及以下儿童的个人信息。所涉及的个人信息包括但不限于儿童姓名、居住地址、儿童图像、电话号码等。COPPA 通过多种方式保护这些信息。其中一种方式是要求父母或监护人同意收集其子女的信息。这是为了确保父母和监护人了解公司正在收集有关其子女的信息。此外，值得一提的是，如果“该工具用于教育目的”，教师和学校可以替代父母和监护人的同意。^[5] COPPA 的另一种保护方式是要求公司“拥有‘清晰全面’的隐私政策”。^[5] 通过拥有“‘清晰全面’的隐私政策”，^[5] 儿童的父母和监护人将能够清楚地了解公司收集的信息，以及这些信息可能对他们产生的影响。此外，COPPA 要求所有收集儿童个人信息的公司对其信息保密和安全。就像任何个人信息一样，这些信息可以用来识别某人并用于恶意目的。对儿童信息保密和安全可以确保威胁行为者无法访问这些信息，从而保护儿童免受未经授权的第三方的侵害。

最近的 COPPA 违规行为

• 微软
  • 最近违反 COPPA 的一家公司是微软。此案发生在美国政府与微软之间。微软违反了该法案，通过使用其 Xbox 游戏系统收集“在未通知其父母或获得其父母同意的情况下，从注册其 Xbox 游戏系统的儿童那里收集个人信息，并非法保留儿童的个人信息”。^[6] 该案件最终以微软与联邦贸易委员会 (FTC) 之间的和解而结束，微软向 FTC 支付了 2000 万美元。
• Epic Games
  • 另一家最近违反 COPPA 的公司是 Epic Games。Epic Games 在 2022 年被发现违反 COPPA。该违反行为集中在 Epic Games 的一款产品，一款名为《堡垒之夜》的免费游戏。这款游戏包含各种游戏内购买项目，例如化妆品和游戏内货币，用户可以用钱购买。FTC 指出，Epic 违反了 COPPA 的原因有很多。首先，他们没有“通知家长，[以便]获得[家长]的同意”。^[7] 由于 Epic Games 在当时没有获得父母的同意，他们能够收集儿童的信息，当家长想要要求删除 Epic 系统中收集的信息时，他们必须“经历不合理的程序，而且有时无法履行这些要求”。^[7] FTC 指出的另一项违规行为是，Epic Games 的默认设置可能对儿童有害。这是指“用户文本和语音通信”。^[7] Epic 默认启用这些设置，用户如果未更改默认设置，将被迫与可能在线一起玩的陌生人交流。这导致孩子们在线上遭受来自陌生人的各种威胁和骚扰。此外，FTC 还指出，Epic Games“使用暗模式欺骗用户进行非自愿购买”，^[7] 并且还允许孩子们在没有父母同意的情况下进行各种未经授权的购买。这些暗模式是指 Epic Games 用于针对任何人的各种方法，以诱使他们进行非自愿的游戏内购买。此外，任何“与信用卡公司争辩错误收费的人”，^[8] 不仅会失去对已购买内容的访问权限，还会失去任何经过授权的购买及其账户。此案件最终以和解结束，Epic Games 不仅向 FTC 支付了 2.45 亿美元，还必须为受违反行为影响的人提供退款的机会。

• CCPA

《加州消费者隐私法案》(CCPA) 于 2018 年颁布。该法案允许消费者对其个人数据拥有更多控制权。此外，CCPA 规定为执行该法律提供了指导。正式而言，该政策包括“了解企业收集的有关其个人信息，以及这些信息的使用和共享方式”的权利。此外，它还包括“删除从其收集的个人信息”的权利，“选择不销售或共享其个人信息”的权利，以及最后“行使 CCPA 权利时不受歧视”的权利 ^[9]。不过，值得注意的是，该法案的“删除权”部分也有一些例外情况。例如，如果企业有法律义务保留敏感数据，则该部分可能不适用。此外，在 2023 年 1 月 1 日，CCPA 进行了修订，增加了进一步的隐私保护措施。这些保护措施包括纠正不正确个人信息的权利，以及限制使用和披露敏感个人数据的权利 ^[10]。

• HIPAA 合规性

《健康保险流通与责任法案》(HIPPA) 于 1996 年颁布。该法案旨在制定全国范围的标准，以保护个人医疗和个人健康信息。HIPAA 涵盖的项目包括但不限于医疗服务提供者、健康计划、结算所及其业务合作伙伴。业务合作伙伴可以是执行与披露受保护的健康信息 (PHI) 相关工作的组织。^[11]

作为 HIPAA 合规性的一部分，公司需要遵循不同的部分，例如违规通知规则、安全和隐私规则，以使患者能够访问其数据。根据 HIPAA 指南，公司大约需要 45 天才能处理从患者提交请求之日起的数据。此请求既可以是关于数据访问，也可以是关于数据删除，并且适用于特定医疗体系的现有患者和新患者。如果超过 45 天未处理数据，则公司将承担责任并可能被起诉。^[12] HIPAA 还明确区分了哪些数据被归类为 PHI 或非安全 PHI。此外，他们还讨论了如何以电子方式存储这些数据以及 IT-Healthcare 公司如何使用这些数据，并概述了适用于 IT-Healthcare 公司的法律，以及之前仅限于线下市场的传统医疗保健部门。因此，医疗保健组织必须采取必要措施以遵守 HIPAA 规则，包括定期进行风险评估、实施适当的安全控制措施、对员工进行有关 HIPAA 政策和程序的培训，以及及时应对任何 PHI 违规行为。^[13]

以下是 HIPAA 合规性的关键要求

1. 隐私规则：HIPAA 隐私规则规定了保护人们健康信息隐私的联邦要求，包括要求受涵盖的企业在披露其数据之前获得患者的书面同意。
2. 安全规则：根据 HIPAA 安全规则，受涵盖的组织必须采取行政、物理和技术措施来保护电子受保护的健康信息 (ePHI) 的可用性、机密性和完整性。
3. 违规通知规则：HIPAA 违规通知规则规定，在发生 ePHI 违规事件时，受涵盖的实体必须通知受影响的个人、卫生与公众服务部部长，并在某些情况下通知媒体。^[14]
4. 执行规则：HIPAA 执行规则规定了对违反 HIPAA 规则的调查、听证和执行民事罚款的程序。
5. 综合规则：HIPAA 综合规则对 HIPAA 规则进行了重大修改，将责任范围扩大到受涵盖的企业的业务合作伙伴，加重了违反合规性的罚款，并增强了个人对其健康信息的访问权。

• SOC 2 合规性

随着组织越来越依赖技术来运营，对强大安全措施的需求变得至关重要。SOC 2 合规性已成为服务提供商和供应商的最重要标准之一，以确保其拥有保护客户数据的控制措施。我们将深入探讨 SOC 2 的五个信托服务原则以及实现合规性的益处。该原则侧重于保护数据免遭未经授权的访问、披露和破坏。基于此原则的控制措施包括访问控制、加密和安全事件审计。可用性：该原则侧重于确保系统能够按与客户协议的方式进行操作和使用。基于此原则的管理包括冗余、备份和灾难恢复计划。

该原则侧重于确保系统处理完整、准确、及时且获得授权。基于此原则的控制措施包括输入验证、数据对账和错误处理。该原则侧重于确保敏感数据免遭未经授权的访问或披露。基于此原则的控制措施包括访问控制、加密和数据分类。该原则侧重于确保个人信息的收集、使用、存储和披露符合组织的隐私政策以及相关法律法规。基于此原则的控制措施包括数据最小化、同意管理和数据主体权利。

SOC 2 合规性表明组织致力于安全和隐私，可以提升组织在客户和合作伙伴中的声誉和信誉。SOC 2 合规性可以让公司在竞争对手中脱颖而出，因为竞争对手可能没有经过同样严格的审查流程。危机管理：SOC 2 合规性帮助组织识别和修复潜在的安全风险和漏洞，从而改善其整体安全态势。SOC 2 合规性帮助组织满足行业特定法规（如 HIPAA 和 PCI DSS）的安全和隐私要求。SOC 2 合规性可以提高客户对组织数据保护能力的信心，从而提高客户忠诚度和保留率。

从监管合规的广阔视角转向数据安全的具体内容，了解这些框架如何在实践中应用于保护敏感信息至关重要。本节探讨合规管理的关键基础机制和技术。数据保护是合规管理的核心，对于各个行业的组织控制和自动化要求至关重要。通过研究加密、访问控制和持续监控等具体策略，我们旨在展示组织如何满足监管期望，有效地保护关键数据。

安全基础设施和技术

加密：主要用于保护数据在传输和存储时的安全，使用仅对拥有解密密钥的人员可访问的加密算法对数据进行加密。^[15]

防火墙和入侵检测系统（IDS）：防火墙充当组织安全内部网络和潜在不安全的外部网络之间的屏障。IDS 系统监控网络流量以检测和响应可疑活动。^[16]

数据屏蔽和令牌化：这些技术确保敏感数据在测试或分析等环境中保持匿名或隐藏，在保持功能的同时增强安全性。^[17]

访问控制和身份验证

基于角色的访问控制（RBAC）：这种安全方法根据个人在组织中的角色限制对信息的访问，确保访问仅限于其职责所需的信息。^[18]

多因素身份验证（MFA）：通过要求用户在访问系统或数据之前提供多种验证方式来增强安全性，从而大大降低未经授权访问的风险。^[18]

监控和审计

持续监控：涉及不断观察系统活动，以便快速识别和缓解潜在的安全威胁。^[19][17]

定期审计：评估安全措施有效性和识别潜在改进以增强数据保护的必要手段。^[19]

策略和培训

数据安全策略：组织创建和执行规定数据处理、共享和保护的策略。这些策略会定期更新以应对新的威胁和合规要求。^[20][17]

员工培训计划：员工定期接受有关数据安全重要性和保护敏感信息的特定协议的培训，确保广泛遵守。^[21]

事件管理和恢复

事件响应计划：详细计划，概述立即行动、缓解策略和通知程序，以有效管理数据泄露或安全事件。^[22]

备份和灾难恢复：定期备份和全面的灾难恢复计划确保在数据丢失或系统故障的情况下恢复数据和业务连续性。^[23]

第三方和供应商管理

供应商安全评估：对处理敏感数据的供应商和第三方进行全面安全评估，以确保符合数据保护标准。^[11]

我们已经回顾了网络安全合规性是什么，重要的是要了解如何在组织内部启动网络安全合规性计划。每个网络安全合规性计划都因其多功能性和覆盖的深度而特定于组织。但是，以下步骤应该是任何组织开始开发其合规性计划并获得满足监管合规性要求的好处的一个很好的起点。

1. 组建指定合规团队：网络安全合规背后的主要力量是您的 IT 人员，但是当实施全面的合规性计划时，必须组建一个合规性团队。为了使企业拥有强大的网络安全态势并支持合规性程序，所有部门都必须协作。
2. 制定风险分析流程：您应该遵守风险分析流程的四个基本阶段，以识别和评估风险。这些包括确定哪些信息系统、资产或网络可以访问数据、确定与每种类型数据相关的风险级别、应用公式分析风险以及通过选择是否降低、转移、拒绝或接受任何已识别的风险来建立容忍度。危险。
3. 启用控制措施以减轻或转移风险：设置安全措施以降低或转移网络安全威胁是下一个阶段。这些措施包括加密、网络防火墙、密码限制、员工培训、事件响应计划、访问控制和修补管理计划，以及其他技术和物理措施。
4. 创建和实施策略：记录 IT 团队、员工和其他利益相关者需要遵循的任何策略或说明，以确保已实施控制措施。这些规定对于未来的内部和外部审计也很有帮助。
5. 监控和快速响应：随着新的法律或旧法律的修订版本的颁布，密切关注您的合规性计划。合规性计划的目的是识别和管理风险，并在网络威胁导致重大数据泄露之前阻止它们。此外，制定能够让您快速响应威胁的业务流程至关重要。

• 医疗保健行业：^[24]

由于患者数据的敏感性和医疗保健服务的关键性，医疗保健行业面临着严格的合规性要求。该行业的组织必须遵守美国医疗保险流通与责任法案（HIPAA）等法规。HIPAA 规定了保护患者隐私和保护电子健康记录（EHR）的严格标准。此外，医疗保健组织还必须遵守与医疗器械制造、制药和临床试验相关的法规，例如美国食品药品监督管理局（FDA）法规。医疗保健中的合规性挑战包括确保 EHR 系统的安全、保护患者机密性以及在遵守 HIPAA 和其他行业特定法规的同时处理复杂的数据共享协议。

• 制造业：^[25][26][27]

制造业面临着与产品安全、环境法规和供应链管理相关的独特合规性挑战。制造商必须遵守美国职业安全与健康管理局 (OSHA) 的工作场所安全标准、美国环境保护署 (EPA) 的废物管理和排放控制法规以及行业特定标准，例如国防相关制造的国际武器贸易条例 (ITAR)。制造业的合规性挑战包括确保产品质量和安全、最大限度地减少环境影响以及管理跨全球供应链的监管要求。

• 科技行业：^[28][29][30]

科技行业在一个以创新、颠覆和激烈竞争为特征的快速变化的环境中运营。科技公司必须应对错综复杂的监管网络，这些网络根据其产品、服务和地理位置而有所不同。影响科技行业的主要法规包括欧盟的通用数据保护条例 (GDPR)、美国加州消费者隐私法 (CCPA) 以及行业特定标准，例如国际标准化组织 (ISO) 27001 信息安全管理体系。科技行业的合规性挑战包括管理大量客户数据、解决隐私问题以及确保基于云的服务和物联网 (IoT) 设备的安全。

• 金融行业：^[31][32][33]

金融行业在一个高度监管的环境中运营，以确保金融市场的完整性和稳定性，并保护消费者利益。金融机构，包括银行、保险公司和投资公司，必须遵守萨班斯-奥克斯利法案 (SOX)、格雷厄姆-里奇-布莱利法案 (GLBA) 和支付卡行业数据安全标准 (PCI DSS) 等法规。这些法规管理着金融运营的各个方面，包括数据隐私、反洗钱 (AML)、欺诈预防。

^{[11] [12] [34] [35] [14] [36] [37] [13] [38] [2] [1] [39] [40] [41]}

1. ↑ ^{a b} Kost, Edward. 2022. 网络安全合规管理是什么？ 10 月 10 日。 https://www.upguard.com/blog/what-is-compliance-management.
2. ↑ ^{a b c d} CompTIA。n.d. 什么是网络安全合规性？ https://www.comptia.org/content/articles/what-is-cybersecurity-compliance.
3. ↑ "欧盟数据保护 - 欧洲委员会". commission.europa.eu. 2023-07-04. Retrieved 2024-04-23.
4. ↑ "什么是GDPR，欧盟新的数据保护法？". GDPR.eu. 2018-11-07. Retrieved 2024-04-23.
5. ↑ ^{a b c} "什么是COPPA？| 常识教育". www.commonsense.org. Retrieved 2024-04-22.
6. ↑ "微软公司，美国诉". 联邦贸易委员会. 2023-06-05. Retrieved 2024-04-22.
7. ↑ ^{a b c d} "堡垒之夜游戏制作商Epic Games因FTC指控的隐私侵犯和非自愿收费支付超过5亿美元". 联邦贸易委员会. 2022-12-16. Retrieved 2024-04-22.
8. ↑ "堡垒之夜退款". 联邦贸易委员会. 2022-11-30. Retrieved 2024-04-22.
9. ↑ 加州消费者隐私法 (CCPA). (2024b, 3月13日). 加利福尼亚州 - 司法部 - 检察长办公室. https://oag.ca.gov/privacy/ccpa
10. ↑ 加州消费者隐私法 (CCPA). (2024b, 3月13日). 加利福尼亚州 - 司法部 - 检察长办公室. https://oag.ca.gov/privacy/ccpa
11. ↑ ^{a b c} 美国国家标准与技术研究院 (NIST). (2020). 网络安全框架. https://www.nist.gov/cyberframework
12. ↑ ^{a b} 欧盟网络安全局 (ENISA). (2020). 网络安全法. https://www.enisa.europa.eu/policy-and-law/cybersecurity-act
13. ↑ ^{a b} 美国卫生与公众服务部. (n.d.). HIPAA for Professionals. Retrieved April 24, 2023, from https://www.hhs.gov/hipaa/for-professionals/index.html
14. ↑ ^{a b} 联邦贸易委员会. (2019). FTC 采取行动打击 Cafe Press 掩盖数据泄露行为. https://www.ftc.gov/news-events/news/press-releases/2022/03/ftc-takes-action-against-cafepress-data-breach-cover
15. ↑ Porcedda, Maria Grazia (2023). 欧盟法律中的网络安全、隐私和数据保护：法律、政策和技术分析. 信息法律与监管哈特研究. 牛津；纽约：哈特. ISBN 978-1-5099-3939-8.
16. ↑ Jacoby, G.A.; Marchany, R.; Davis, N.J. "基于电池的入侵检测：第一道防线". 2004 年第五届 IEEE SMC 信息保障研讨会论文集. IEEE. doi:10.1109/iaw.2004.1437827.
17. ↑ ^{a b c} Bougleux, Elena (2021-06-30). "通用数据保护条例 (GDPR) 并非真正通用". 地中海人类学档案. 23 (1). doi:10.4000/aam.4098. ISSN 2038-3215.
18. ↑ ^{a b} Rizvi, Syed; Imler, Jarrett; Ritchey, Luke; Tokar, Michael. "使用坐标跟踪和多因素身份验证来保护 PKES 免受中继攻击". 2019 年第 53 届信息科学与系统年会 (CISS). IEEE. doi:10.1109/ciss.2019.8692790.
19. ↑ ^{a b} "外部验证", 实验室质量和监管合规审计, CRC Press, pp. 222–236, 2005-07-25, ISBN 978-0-429-11950-7，检索于 2024-04-21
20. ↑ Middleton, Rowan; Smith, Herbert. "数据保护 - 保留政策". 计算机法律与安全评论. 19 (3): 216–221. doi:10.1016/S0267-3649(03)00305-4.
21. ↑ "安全意识和培训菜单", 信息安全, Elsevier, pp. 63–64, 2013，检索于 2024-04-21
22. ↑ "事件响应", 打击恐怖主义战略与方法, 2300N Street, NW, Suite 800, Washington DC 20037 United States: CQ Press, pp. 199–231, 2008{{citation}}: CS1 maint: location (link)
23. ↑ "业务连续性和灾难恢复响应清单", IT 专业人员的业务连续性和灾难恢复计划, Elsevier, pp. 417–418, 2007，检索于 2024-04-21
24. ↑ 权利（OCR），民权办公室 (2021-06-09). "健康信息隐私". www.hhs.gov. Retrieved 2024-04-13.
25. ↑ (OSHA). "职业安全与健康管理局".
26. ↑ 美国环保署，运营部 (2013-01-31). "法律与法规". www.epa.gov. Retrieved 2024-04-13.
27. ↑ "美国国务院国防贸易管制局。 (n.d.). 国际武器贸易条例 (ITAR)". www.pmddtc.state.gov. Retrieved 2024-04-13.
28. ↑ "GDPR 欧洲法规". eur-lex.europa.eu. Retrieved 2024-04-13.
29. ↑ "加州消费者隐私法 (CCPA)". 加州 - 司法部 - 总检察长办公室. 2018-10-15. Retrieved 2024-04-13.
30. ↑ 14:00-17:00. "国际标准化组织". ISO. Retrieved 2024-04-13.{{cite web}}: CS1 maint: numeric names: authors list (link)
31. ↑ "文件库". PCI 安全标准委员会. Retrieved 2024-04-13.
32. ↑ "格雷厄姆-里奇-布莱利法案". 联邦贸易委员会. 2024-02-05. Retrieved 2024-04-13.
33. ↑ "2002 年萨班斯-奥克斯利法案".
34. ↑ 支付卡行业安全标准委员会。 (2020). 支付卡行业数据安全标准. https://listings.pcisecuritystandards.org/assessors_and_solutions/vpa_agreement?return=%2Fassessors_and_solutions%2Fpoint_to_point_encryption_solutions/
35. ↑ 万豪国际。 (2019). 万豪国际宣布数据泄露和解. https://www.cbsnews.com/news/marriott-data-breach-class-action-lawsuits-seek-billions-with-more-to-come/
36. ↑ 马士基表示全球 IT 系统故障是由网络攻击造成的。（2017 年）。https://www.reuters.com/article/us-cyber-attack-maersk-idUSKBN19I1NO
37. ↑ 塔吉特公司。（2018 年）。塔吉特数据泄露和解协议。https://topclassactions.com/lawsuit-settlements/closed-settlements/target-data-breach-class-action-settlement/
38. ↑ 健康信息与管理系统协会。（无日期）。HIPAA 资源。2023 年 4 月 24 日检索自 https://www.himss.org/news/himss-comments-hipaa-proposed-regulation-highlights-importance-alignment-and-access
39. ↑ GDPR。（2023 年 1 月）。通用数据保护条例。检索自 gdpr-info.edu：https://gdpr-info.eu/
40. ↑ 麦卡锡，N.（2023 年 1 月 31 日）。2022 年最大的 GDPR 罚款。检索自 EQS 集团：https://www.eqs.com/compliance-blog/biggest-gdpr-fines/
41. ↑ 加利福尼亚州消费者隐私法案 (CCPA)。(2024b 年 3 月 13 日)。加利福尼亚州 - 司法部 - 总检察长办公室。 https://oag.ca.gov/privacy/ccpa