1、prudent man rule 对信息安全事务承担个人责任

应尽职责 due diligence rule 准确 及时的完成责任

应尽程序

due care 应尽关注 一般人期望的相同关注来响、

和欧盟*交换 ----标准合同条款

FISMA 联邦信息安全方案---外包商

HIPAA ----------医疗信息

PCIDSS----------*信息

数据：管理者或数据监管者 

散列 ----、--数据完整性--是否被修改

ACL、只读 防止未授权的修改，无法验证是否被修改

业务连续性计划文档

1、目标重要性、优先性、组织职责、时间表、风险评估、发现接受和缓解文档、关键记录计划、紧急情况相应指南、维护测试计划

业务连续性计划项目范围、计划阶段：

1、对组织结构分析、设立连续性计划小组、评估现有资源、分析法律和监管环境

业务连续性成员

第三方证明消息来源------不可否认

道德规范：披露所有侵犯隐私、信任或道德规范行为

补偿控制、减轻风险

回归测试 ---测试、新代码不会带来旧缺陷

模糊测试----提供异常的输入

安全意识培训--最低

KPI

入职筛选：药检、