合规总览:先判断法律和管辖区
第 4 章不是背法条清单,而是训练你从整体角度判断:涉及什么数据、发生在哪里、适用什么法律、合同或行业标准、谁要负责。
合规环境复杂
英文原文摘录
The world of compliance is a complex and dynamic landscape.
中文直译
合规世界是复杂且动态的法律与监管环境。
小白解释
法律会变、地区不同、行业不同,组织不能只套一条规则。
考点提醒
题目出现跨国、云服务、PII、行业监管时,先判断适用管辖区和要求。
多管辖区
英文原文摘录
Security professionals must reconcile the laws of multiple jurisdictions.
中文直译
安全专业人员必须协调多个司法管辖区的法律。
小白解释
同一业务可能同时受国家、州、行业、合同和跨境规则影响。
考点提醒
Multinational / transborder data flow 不是只看本国法。
本章范围
英文原文摘录
This chapter covers computer crime, privacy, intellectual property, and related topics.
中文直译
本章涵盖计算机犯罪、隐私、知识产权及相关主题。
小白解释
CISSP 要求安全人员理解法律边界,而不是成为律师。
考点提醒
考试会考概念识别、责任边界和合规流程,不会让你背完整法条。
调查协助
英文原文摘录
Agencies without investigators should know where to turn.
中文直译
没有专职调查人员的机构应知道需要时向何处寻求帮助。
小白解释
遇到可能犯罪或重大取证事件,要知道何时寻求执法或专业调查支持。
考点提醒
涉及刑事调查时,尽早联系法律顾问,避免破坏证据或越权行动。
合规角色
英文原文摘录
Organizations have created a formal position called a compliance officer.
中文直译
一些组织设立了正式职位:合规官。
小白解释
合规官负责跟踪法律法规、业务变化和组织义务,让业务按要求运转。
考点提醒
Compliance officer 关注适用要求、控制、审计和持续合规。
法律不是孤岛
英文原文摘录
Compliance requirements may come from law, regulation, industry standards, or contracts.
中文直译
合规要求可能来自法律、监管、行业标准或合同。
小白解释
PCI DSS 就是典型:不是法律本身,而是合同义务强制执行。
考点提醒
题目问“不是法律但必须遵守”,常考虑合同或行业标准。
法律三分类与网络犯罪
刑法、民法和行政法解决的问题不同。网络犯罪通常落入刑法和专门网络犯罪法规,调查时还要注意取证和法律授权。
刑法
英文原文摘录
Criminal law forms the bedrock of laws that preserve peace.
中文直译
刑法是维护和平、保障社会安全的法律基础。
小白解释
刑法处理严重违反公共信任的行为,由政府起诉,可能有罚款或监禁。
考点提醒
Criminal law:政府起诉,保护社会,处罚最重。
民法
英文原文摘录
Civil laws provide for an orderly society and govern matters that are not crimes.
中文直译
民法用于维护有序社会,并处理不属于犯罪的事项。
小白解释
民法常处理合同纠纷、雇佣、房地产、商业交易等。
考点提醒
Civil law:受影响双方到法院主张,常见于合同和商业纠纷。
行政法
英文原文摘录
Administrative law is used by government agencies to carry out day-to-day business.
中文直译
行政法由政府机构用于开展日常监管工作。
小白解释
行政机构通过规则、政策和程序解释并执行现有法律。
考点提醒
不需要国会逐条立法、由行政机构发布的规则,多是 administrative law。
CFAA
英文原文摘录
The CFAA was written to cover computer crimes that crossed state boundaries.
中文直译
CFAA 被设计为涵盖跨越州界的计算机犯罪。
小白解释
CFAA 保护政府或州际商业相关计算机免受未授权访问和滥用。
考点提醒
未经授权访问、超越授权、联邦或州际计算机,常考 CFAA。
ECPA
英文原文摘录
The ECPA makes it a crime to invade electronic privacy.
中文直译
ECPA 将侵犯电子隐私规定为犯罪。
小白解释
它和通信拦截、电子通信隐私、监控授权有关。
考点提醒
监控通信前先看授权、告知、政策和例外。
FISMA
英文原文摘录
FISMA places a significant burden on federal agencies and contractors.
中文直译
FISMA 给联邦机构和政府承包商带来重大合规负担。
小白解释
联邦机构及承包商要维护安全计划、控制、评估、补救和文档。
考点提醒
Federal agencies 信息安全常见答案是 FISMA。
NIST 标准
英文原文摘录
NIST produces the 800 series of Special Publications.
中文直译
NIST 发布 800 系列特别出版物。
小白解释
SP 800-53 常用于联邦系统安全控制;SP 800-171 常用于非联邦系统中受控非密信息。
考点提醒
政府承包商经常遇到 NIST SP 800-171。
知识产权与软件许可
知识产权题关键是先判断保护对象:作品、标识、发明、商业秘密,还是软件许可约束。不同对象对应不同法律保护。
版权
英文原文摘录
Copyrights protect original works of authorship.
中文直译
版权保护原创作品。
小白解释
书籍、文章、诗歌、歌曲、软件代码等原创表达可受版权保护。
考点提醒
Copyright 保护表达,不是保护想法本身。
商标
英文原文摘录
Trademarks are names, slogans, and logos.
中文直译
商标是名称、标语和标志。
小白解释
商标用于识别公司、产品或服务来源。
考点提醒
Logo、brand name、slogan 多看 trademark。
专利
英文原文摘录
Patents provide protection to creators of new inventions.
中文直译
专利为新发明的创造者提供保护。
小白解释
专利保护新颖、实用的发明,通常需要正式申请和公开。
考点提醒
New invention / inventor / patent office 是专利信号。
商业秘密
英文原文摘录
Trade secret law protects the operating secrets of a firm.
中文直译
商业秘密法保护企业的经营机密。
小白解释
配方、流程、客户名单等只要保持秘密且有商业价值,就可能是商业秘密。
考点提醒
Trade secret 依赖保密措施;一旦公开,保护可能丧失。
DMCA
英文原文摘录
The DMCA prohibits circumvention of copy protection mechanisms.
中文直译
DMCA 禁止规避数字媒体中的复制保护机制。
小白解释
它还限制互联网服务提供商对用户活动的责任。
考点提醒
Circumvent copy protection / ISP liability,想到 DMCA。
经济间谍法
英文原文摘录
The Economic Espionage Act provides penalties for theft of trade secrets.
中文直译
经济间谍法对窃取商业秘密的行为规定处罚。
小白解释
如果商业秘密盗窃有利于外国政府,处罚更重。
考点提醒
Theft of trade secrets,尤其涉外国政府,想到 EEA。
软件许可
英文原文摘录
Perpetual licenses allow indefinite use after a one-time fee.
中文直译
永久许可允许一次付费后无限期使用。
小白解释
许可类型还包括订阅、开源、企业、EULA、并发、命名用户、点击同意和云服务许可。
考点提醒
License 题看使用权、期限、用户数、是否开源、是否需点击同意。
隐私与跨境数据流动
隐私法的核心是个人信息如何收集、使用、共享、传输和删除。跨国业务必须同时看个人权利、数据位置、传输机制和监管要求。
隐私法律
英文原文摘录
Understand the major laws that govern privacy of personal information.
中文直译
理解管理个人信息隐私的主要法律。
小白解释
不同国家和行业对 PII、健康、金融、教育记录有不同隐私要求。
考点提醒
Privacy 题先识别数据类型、主体位置、组织行业和处理目的。
GDPR
英文原文摘录
The EU has a comprehensive General Data Protection Regulation.
中文直译
欧盟有全面的通用数据保护条例 GDPR。
小白解释
GDPR 管理个人数据使用与交换,强调数据主体权利和合规基础。
考点提醒
EU personal data、data subject rights、cross-border transfer,常见 GDPR。
CCPA
英文原文摘录
CCPA provides consumers with privacy rights.
中文直译
CCPA 为消费者提供隐私权利。
小白解释
包括知情权、删除权、拒绝出售个人信息权,以及行使权利不受歧视。
考点提醒
California consumer privacy,常见答案 CCPA。
PIPEDA/PIPL/POPIA
英文原文摘录
Canada, China, and South Africa have privacy laws.
中文直译
加拿大、中国和南非都有隐私法律。
小白解释
PIPEDA、PIPL、POPIA 都是考试中可能出现的地区隐私法律。
考点提醒
看到国家和个人信息保护,先把法规名和地区对应起来。
数据最小化
英文原文摘录
Data processing should be specific, clear, and legitimate.
中文直译
数据处理应具体、清晰且合法。
小白解释
只收集实现声明目的所必需的数据,敏感数据通常需要更强同意和保护。
考点提醒
Purpose limitation / consent / minimization 是隐私高频词。
跨境传输
英文原文摘录
Privacy issues are associated with transferring information across borders.
中文直译
跨境传输信息会产生隐私和出口控制问题。
小白解释
数据离开一个司法辖区,接收地保护水平、合同和传输机制都要评估。
考点提醒
Transborder data flow 题先看数据主体所在地和接收国要求。
数据泄露、通知与监控
数据泄露不只是技术事件,还会触发通知、监管报告、法律审查、证据保全和沟通义务。员工监控也必须有政策、告知和授权。
泄露通知
英文原文摘录
Organizations may have notification requirements after a data breach.
中文直译
组织在数据泄露后可能承担通知要求。
小白解释
泄露后要评估数据类型、影响人群、适用法律和通知时限。
考点提醒
Breach notification 题先找个人信息、受影响个人、监管要求。
SB 1386
英文原文摘录
California's SB 1386 implemented the first statewide breach notification requirement.
中文直译
加州 SB 1386 首次实施州级数据泄露通知要求。
小白解释
它是美国州级泄露通知法的早期代表,后续各州陆续跟进。
考点提醒
最早州级个人信息泄露通知要求,记 SB 1386。
HIPAA 通知
英文原文摘录
Federal law requires notification when HIPAA-covered entities breach PHI.
中文直译
当 HIPAA 覆盖实体泄露 PHI 时,联邦法律要求通知。
小白解释
PHI 是受保护健康信息,医疗健康场景常考 HIPAA。
考点提醒
Healthcare / protected health information,优先 HIPAA。
ECPA 与隐私
英文原文摘录
ECPA makes it a crime to invade electronic privacy.
中文直译
ECPA 将侵犯电子隐私规定为犯罪。
小白解释
组织监控电子通信时,要避免越权侵犯隐私。
考点提醒
监控前确认政策、同意、业务目的、法律授权。
员工监控
英文原文摘录
Employers should notify employees of system monitoring.
中文直译
雇主应通知员工系统监控情况。
小白解释
常见做法包括登录横幅、AUP、员工手册、培训和明确的监控政策。
考点提醒
Monitoring 题常选 notice + policy + consent/authorization。
证据与日志
英文原文摘录
Audit logs can conclusively prove user activity.
中文直译
审计日志可以有力证明用户活动。
小白解释
泄露和犯罪调查中,日志、监控录像、证据链和保全流程都很关键。
考点提醒
调查时不要随意改动证据;必要时联系法务和执法机构。
合规计划与供应商治理
合规要落到持续监控、审计、报告、采购和供应商治理。云服务和外包让组织不能只管自己,还要确认供应商同样保护数据。
合规计划
英文原文摘录
Building a compliance program ensures that you become and remain compliant.
中文直译
建立合规计划可确保组织达到并持续保持合规。
小白解释
合规不是一次性检查,而是持续识别要求、映射控制、监控、审计和报告。
考点提醒
Remain compliant 强调持续合规。
PCI DSS
英文原文摘录
PCI DSS is not dictated by law but by contractual obligation.
中文直译
PCI DSS 不是由法律规定,而是由合同义务规定。
小白解释
它保护信用卡和借记卡数据,通过商户协议执行。
考点提醒
问支付卡数据安全标准,选 PCI DSS;问来源,选 contractual obligation。
SOX
英文原文摘录
IT controls may be audited for Sarbanes-Oxley compliance.
中文直译
IT 控制可能因 SOX 合规而接受审计。
小白解释
财务系统的信息安全控制会影响财务报告可信度。
考点提醒
Financial systems / public company / audit controls,想到 SOX。
合规审计
英文原文摘录
Organizations may be subject to compliance audits.
中文直译
组织可能受到合规审计。
小白解释
审计可能来自内部外部审计师、监管机构、行业要求或合同要求。
考点提醒
Formal audits、self-assessment、regulator report 都属于合规语境。
供应商治理
英文原文摘录
Security professionals must ensure vendors treat data with care.
中文直译
安全专业人员必须确保供应商谨慎处理数据。
小白解释
云服务和外包处理敏感数据时,组织仍要负责确认供应商满足要求。
考点提醒
Vendor governance 关注合同、安全审查、持续监控、审计权和数据处理义务。
采购控制
英文原文摘录
Security reviews and controls should be part of contracting and procurement.
中文直译
安全审查和控制应纳入合同与采购过程。
小白解释
安全要求应在签约前就写进合同,而不是上线后再补。
考点提醒
采购云服务时,先做安全和合规评估,再签合同和接入数据。