13、

离开应该带公网IP

数字签名

什么衡量

1、

2、

3、

4、

5、

6、

7、

8、

9、

10、

11、

12、

13、

14、

15、

16、

17、

18、

19、

20、

21、

22、

23、

24、

25、

26、

27、

28、

29、

30、

31、

32、

33、

34、

35、

36、

37、

38、

39、

40、

41、

42、

43、

44、

45、

46、

47、

48、

49、

50、

51、

52、

53、

54、

55、

56、

57、

58、

59、

60、

61、

62、

63、

64、

65、

66、

67、

68、

69、

70、

71、

72、

73、

74、

75、

76、

77、

78、

79、

80、

81、

82、

83、

84、

85、

86、

87、

88、

89、

90、

91、

92、

93、

94、

95、

96、

97、

98、

99、

100、

101、

102、

103、

104、

105、

106、

107、

108、

109、

110、

111、

112、

113、

114、

115、

116、

117、

118、

119、

120、

1、prudent man rule 对信息安全事务承担个人责任

应尽职责 due diligence rule 准确 及时的完成责任

应尽程序

due care 应尽关注 一般人期望的相同关注来响、

和欧盟*交换 ----标准合同条款

FISMA 联邦信息安全方案---外包商

HIPAA ----------医疗信息

PCIDSS----------*信息

数据：管理者或数据监管者 

散列 ----、--数据完整性--是否被修改

ACL、只读 防止未授权的修改，无法验证是否被修改

业务连续性计划文档

1、目标重要性、优先性、组织职责、时间表、风险评估、发现接受和缓解文档、关键记录计划、紧急情况相应指南、维护测试计划

业务连续性计划项目范围、计划阶段：

1、对组织结构分析、设立连续性计划小组、评估现有资源、分析法律和监管环境

业务连续性成员

第三方证明消息来源------不可否认

道德规范：披露所有侵犯隐私、信任或道德规范行为

补偿控制、减轻风险

回归测试 ---测试、新代码不会带来旧缺陷

模糊测试----提供异常的输入

安全意识培训--最低

KPI

入职筛选：药检、

1、数据清理clearing purging sanitization

介质

磁盘

磁盘运输

数据保留时长  记录保留

静止数据 主要风险 数据泄露 加密 

数据完整性 备份

RAM 使用中的数据

identify data 

敏感数据识别

DLP系统

介质中的残留数据处理 

数据残留

sanitization 净化 一些列过程

政府外包 

 数据处理的什么周期 PCSDSS （安全控制和标准）

关于介质的运输 

数据处理者 处理数据系统。按照EU GDRP 之类的标准9进行相关数据处理工作

数据拥有者

管理员（administa  custodian ） 授权 落实措施 被委派日常任务

业务所有者 为客户提供访问 、先择安全框架

系统所有者 关系最终选什么标准

数据分类  （不需要考虑数据成本）

关注：敏感性、泄漏影响、价值

目的：确定数据价值

数据存储

数据存储策略

记录保留

SSD盘 最好的处理办法 disintegration 

数据所有者通常时CEO或高级管理者

定基线：创建安全基线或配置系统的过程

范围界定是scoping

IT系统的安全控制措施

EU GDPR  

目的用途 limited to 使用范围  数据免受破坏

数据定义及影响

非常/特别严重  top  secret 

严重 secret 

较小损失，一定影响 confidential

商务部 监督 隐私 欧盟

电子签名 证明谁审核数据 FDA  可信赖 可靠

组策略

数据分类

水印 ------数据泄密、被盗

数据分类：公共 敏感（私有） 专有

系统上运行的每个进程都有物理或逻辑界限