資訊科技與倫理/為什麼需要合規管理？

合規管理是一個讓公司確保其遵守行業標準法規的過程，例如，一套正確的規則和條例，以確保資料以最佳方式得到保護。擁有適當的合規管理也很重要，因為如今公司可以訪問大量資料，因此對它們遵循某些合規性至關重要，因此公司會花費大量資金聘請律師等，以確保它們符合規定。一些常見的合規性包括CCPA、FERPA、CMMC等。如果它們所在行業沒有遵循上述合規性，它們可能會受到鉅額罰款，例如：^[1]

1. 違反HIPAA的罰款範圍從每項違規100美元到50000美元不等。
2. 違反PCI DSS的罰款範圍從每月5000美元到10000美元不等，直到達到合規為止。
3. GDPR的最高違規罰款為2000萬歐元或年度營業額的4%，以較高者為準。

如果公司仍然不遵守，合規罰款往往會倍增。

讓我們談談受網路安全合規性約束的資料型別，包括^[2]

1. PII資料：包括出生日期、姓名、地址、社會安全號碼、母親的孃家姓等。
2. 財務資訊：包括信用卡號碼、有效期、CVV、銀行賬戶詳細資訊、PIN碼、信用記錄、賬戶摘要等。
3. PHI資料：包括病史、保險、記錄、預約歷史、處方記錄、醫院、入院記錄等。

其他型別的資訊包括種族、宗教、婚姻狀況、生物識別資料、電子郵件地址、使用者名稱、密碼等。

擁有一個更好的合規團隊對於避免公司遭受資料洩露、保護聲譽、防止罰款、維護客戶信任等至關重要。根據合規管理生命週期，合規的支柱包括^[2]

1. 攻擊面監控：包括查詢系統中的漏洞或可能打開後門的錯誤。
2. 風險優先順序排序：一旦發現漏洞，應根據它們可能對資料造成的影響進行優先順序排序。
3. 修復風險：一旦優先順序排序完成，應立即採取措施修復問題或儘量減少影響。
4. 報告合規工作：這意味著記錄為減少或修復問題而採取的措施，以便讓高層管理人員和審計人員瞭解情況。

示例

2012年，安克雷奇社群心理健康服務（ACMHS）遭受軟體攻擊，導致2743人的受保護健康資訊（PHI）公開。該漏洞是因為ACMHS沒有應用必要的安全更改和修補程式，導致其系統容易受到攻擊。根據美國衛生與公眾服務部（HHS）的一項研究，ACMHS因未能採取足夠的安全措施並定期進行更新而違反了HIPAA安全規則。

2012年，(ACMHS) 安克雷奇社群心理健康服務資料庫遭到攻擊，洩露了 2,743 個人的受保護健康資訊 (PHI)。這起洩露事件是由於 ACMHS 未能應用必要的安全更新和補丁，導致其系統存在漏洞。美國衛生與公眾服務部 (HHS) 進行的調查顯示，ACMHS 忽視了安全措施的實施和更新，違反了 HIPAA 安全規則。

ACMHS 被處以 150,000 美元的罰款，並且必須制定一個解決問題的計劃。作為該計劃的一部分，對所有風險進行了全面審查，並制定了風險管理策略，以防止將來發生洩露事件。該事件表明，嚴格遵守駭客規則的重要性以及不遵守 HIPAA 規則的嚴重後果。

通用資料保護條例 (GDPR) 是世界上最全面的隱私和安全法律。它由歐盟草擬並於 2018 年 5 月 25 日實施。它旨在透過對全世界收集歐盟公民資料的組織施加義務和組織來保護歐盟公民的資料。違反 GDPR 規定的條款會導致最高 2000 萬歐元的罰款。 通用資料保護條例 (GDPR) 於 2018 年由歐盟頒佈。它規範了資料保護，旨在加強資料隱私並增強資料安全。它還依賴於不同的原則，如保密性、問責制和合法性。^[3] GDPR 適用於處理歐盟公民個人資料的企業。實施了許多措施。第一個是執行資料保護影響評估 (DPIA)。採取的下一項措施是指定資料保護官 (DPO) 來監控合規性。組織和技術預防措施相結合，以保障個人資料的安全和隱私，同時 DPO 負責這些方面。在處理任何資料處理之前，組織必須獲得同意。在收集和處理個人資料之前，企業必須獲得個人的明確同意，這是 GDPR 的關鍵原則之一。任何在歐盟或歐洲經濟區運營的公司，以及任何使用歐盟境內個人個人資料的公司，或跟蹤歐盟境內個人行為的公司，均受 GDPR 約束。組織還必須提供全面的隱私宣告，併為個人行使個人資料權利提供便利。這包括訪問、修改或刪除其資料的權利。違反 GDPR 的處罰可能包括最高 2000 萬歐元或全球年度營業額的 4% 的罰款，通常以較高者為準。^[4]

據《紐約時報》報道，谷歌因未向用戶妥善披露其如何在其服務（如 Google 自己的搜尋引擎以及 Google 地圖和 YouTube 等服務）中收集資料而被罰款 5000 萬歐元。這種處罰被認為是根據歐盟隱私法（即 GDPR）所處以的最大處罰之一。每個處理歐洲公民資料的美國公司都必須遵循一些 GDPR 合規性清單。

• 對歐盟個人資料進行資訊審計。
• 告知客戶處理其資料的原因。
• 評估資料處理活動並改進保護措施
• 資料控制者應確保與供應商之間存在資料處理協議。
• 應任命一名指定的資料保護官，特別是較大的組織。
• 非歐盟組織需要任命一名駐歐盟成員國之一的代表。
• 在資料洩露事件發生時，應瞭解職責。
• 組織應遵守跨境轉移法律。。

迄今為止 GDPR 的最高罰款

• Meta

因違反兒童隱私而被罰款 4.05 億歐元，原因是釋出了電子郵件地址和電話號碼。

• Clearview AI Inc.

一家美國 AI 公司因收集自拍並將這些自拍用於擴充套件其大約 100 億張面孔的資料庫而被罰款 2000 萬歐元。該公司隨後將身份驗證服務出售給各個行業，包括執法部門。

• Google

在發現搜尋引擎巨頭將要求刪除其資料的歐盟公民的個人資訊提供給 Lumen 專案後，西班牙資料保護機構 AEDP 對谷歌處以 1000 萬歐元的罰款。AEDP 發現，谷歌提供給資料主體用於行使“被遺忘權”的內容刪除表格存在歧義。

在發現搜尋引擎巨頭將要求刪除其資料的歐盟公民的個人資訊提供給 Lumen 專案後，西班牙資料保護機構 AEDP 對谷歌處以 1000 萬歐元的罰款。AEDP 發現，谷歌提供給資料主體用於行使“被遺忘權”的內容刪除表格存在歧義。

• Rewe

一家超市連鎖店 Rewe 因在 2022 年違反 GDPR 而被處以 800 萬歐元的罰款。

• COPPA

COPPA 是《兒童線上隱私保護法》的縮寫，於 1998 年頒佈。該法側重於保護 12 歲及以下兒童的個人資訊。所涉及的個人資訊包括但不限於兒童姓名、居住地址、兒童影像、電話號碼等。COPPA 透過多種方式保護這些資訊。其中一種方式是要求父母或監護人同意收集其子女的資訊。這是為了確保父母和監護人瞭解公司正在收集有關其子女的資訊。此外，值得一提的是，如果“該工具用於教育目的”，教師和學校可以替代父母和監護人的同意。^[5] COPPA 的另一種保護方式是要求公司“擁有‘清晰全面’的隱私政策”。^[5] 透過擁有“‘清晰全面’的隱私政策”，^[5] 兒童的父母和監護人將能夠清楚地瞭解公司收集的資訊，以及這些資訊可能對他們產生的影響。此外，COPPA 要求所有收集兒童個人資訊的公司對其資訊保密和安全。就像任何個人資訊一樣，這些資訊可以用來識別某人並用於惡意目的。對兒童資訊保密和安全可以確保威脅行為者無法訪問這些資訊，從而保護兒童免受未經授權的第三方的侵害。

最近的 COPPA 違規行為

• 微軟
  • 最近違反 COPPA 的一家公司是微軟。此案發生在美國政府與微軟之間。微軟違反了該法案，透過使用其 Xbox 遊戲系統收集“在未通知其父母或獲得其父母同意的情況下，從註冊其 Xbox 遊戲系統的兒童那裡收集個人資訊，並非法保留兒童的個人資訊”。^[6] 該案件最終以微軟與聯邦貿易委員會 (FTC) 之間的和解而結束，微軟向 FTC 支付了 2000 萬美元。
• Epic Games
  • 另一家最近違反 COPPA 的公司是 Epic Games。Epic Games 在 2022 年被發現違反 COPPA。該違反行為集中在 Epic Games 的一款產品，一款名為《堡壘之夜》的免費遊戲。這款遊戲包含各種遊戲內購買專案，例如化妝品和遊戲內貨幣，使用者可以用錢購買。FTC 指出，Epic 違反了 COPPA 的原因有很多。首先，他們沒有“通知家長，[以便]獲得[家長]的同意”。^[7] 由於 Epic Games 在當時沒有獲得父母的同意，他們能夠收集兒童的資訊，當家長想要要求刪除 Epic 系統中收集的資訊時，他們必須“經歷不合理的程式，而且有時無法履行這些要求”。^[7] FTC 指出的另一項違規行為是，Epic Games 的預設設定可能對兒童有害。這是指“使用者文字和語音通訊”。^[7] Epic 預設啟用這些設定，使用者如果未更改預設設定，將被迫與可能線上一起玩的陌生人交流。這導致孩子們在線上遭受來自陌生人的各種威脅和騷擾。此外，FTC 還指出，Epic Games“使用暗模式欺騙使用者進行非自願購買”，^[7] 並且還允許孩子們在沒有父母同意的情況下進行各種未經授權的購買。這些暗模式是指 Epic Games 用於針對任何人的各種方法，以誘使他們進行非自願的遊戲內購買。此外，任何“與信用卡公司爭辯錯誤收費的人”，^[8] 不僅會失去對已購買內容的訪問許可權，還會失去任何經過授權的購買及其賬戶。此案件最終以和解結束，Epic Games 不僅向 FTC 支付了 2.45 億美元，還必須為受違反行為影響的人提供退款的機會。

• CCPA

《加州消費者隱私法案》(CCPA) 於 2018 年頒佈。該法案允許消費者對其個人資料擁有更多控制權。此外，CCPA 規定為執行該法律提供了指導。正式而言，該政策包括“瞭解企業收集的有關其個人資訊，以及這些資訊的使用和共享方式”的權利。此外，它還包括“刪除從其收集的個人資訊”的權利，“選擇不銷售或共享其個人資訊”的權利，以及最後“行使 CCPA 權利時不受歧視”的權利 ^[9]。不過，值得注意的是，該法案的“刪除權”部分也有一些例外情況。例如，如果企業有法律義務保留敏感資料，則該部分可能不適用。此外，在 2023 年 1 月 1 日，CCPA 進行了修訂，增加了進一步的隱私保護措施。這些保護措施包括糾正不正確個人資訊的權利，以及限制使用和披露敏感個人資料的權利 ^[10]。

• HIPAA 合規性

《健康保險流通與責任法案》(HIPPA) 於 1996 年頒佈。該法案旨在制定全國範圍的標準，以保護個人醫療和個人健康資訊。HIPAA 涵蓋的專案包括但不限於醫療服務提供者、健康計劃、結算所及其業務合作伙伴。業務合作伙伴可以是執行與披露受保護的健康資訊 (PHI) 相關工作的組織。^[11]

作為 HIPAA 合規性的一部分，公司需要遵循不同的部分，例如違規通知規則、安全和隱私規則，以使患者能夠訪問其資料。根據 HIPAA 指南，公司大約需要 45 天才能處理從患者提交請求之日起的資料。此請求既可以是關於資料訪問，也可以是關於資料刪除，並且適用於特定醫療體系的現有患者和新患者。如果超過 45 天未處理資料，則公司將承擔責任並可能被起訴。^[12] HIPAA 還明確區分了哪些資料被歸類為 PHI 或非安全 PHI。此外，他們還討論瞭如何以電子方式儲存這些資料以及 IT-Healthcare 公司如何使用這些資料，並概述了適用於 IT-Healthcare 公司的法律，以及之前僅限於線下市場的傳統醫療保健部門。因此，醫療保健組織必須採取必要措施以遵守 HIPAA 規則，包括定期進行風險評估、實施適當的安全控制措施、對員工進行有關 HIPAA 政策和程式的培訓，以及及時應對任何 PHI 違規行為。^[13]

以下是 HIPAA 合規性的關鍵要求

1. 隱私規則：HIPAA 隱私規則規定了保護人們健康資訊隱私的聯邦要求，包括要求受涵蓋的企業在披露其資料之前獲得患者的書面同意。
2. 安全規則：根據 HIPAA 安全規則，受涵蓋的組織必須採取行政、物理和技術措施來保護電子受保護的健康資訊 (ePHI) 的可用性、機密性和完整性。
3. 違規通知規則：HIPAA 違規通知規則規定，在發生 ePHI 違規事件時，受涵蓋的實體必須通知受影響的個人、衛生與公眾服務部部長，並在某些情況下通知媒體。^[14]
4. 執行規則：HIPAA 執行規則規定了對違反 HIPAA 規則的調查、聽證和執行民事罰款的程式。
5. 綜合規則：HIPAA 綜合規則對 HIPAA 規則進行了重大修改，將責任範圍擴大到受涵蓋的企業的業務合作伙伴，加重了違反合規性的罰款，並增強了個人對其健康資訊的訪問權。

• SOC 2 合規性

隨著組織越來越依賴技術來運營，對強大安全措施的需求變得至關重要。SOC 2 合規性已成為服務提供商和供應商的最重要標準之一，以確保其擁有保護客戶資料的控制措施。我們將深入探討 SOC 2 的五個信託服務原則以及實現合規性的益處。該原則側重於保護資料免遭未經授權的訪問、披露和破壞。基於此原則的控制措施包括訪問控制、加密和安全事件審計。可用性：該原則側重於確保系統能夠按與客戶協議的方式進行操作和使用。基於此原則的管理包括冗餘、備份和災難恢復計劃。

該原則側重於確保系統處理完整、準確、及時且獲得授權。基於此原則的控制措施包括輸入驗證、資料對賬和錯誤處理。該原則側重於確保敏感資料免遭未經授權的訪問或披露。基於此原則的控制措施包括訪問控制、加密和資料分類。該原則側重於確保個人資訊的收集、使用、儲存和披露符合組織的隱私政策以及相關法律法規。基於此原則的控制措施包括資料最小化、同意管理和資料主體權利。

SOC 2 合規性表明組織致力於安全和隱私，可以提升組織在客戶和合作夥伴中的聲譽和信譽。SOC 2 合規性可以讓公司在競爭對手中脫穎而出，因為競爭對手可能沒有經過同樣嚴格的審查流程。危機管理：SOC 2 合規性幫助組織識別和修復潛在的安全風險和漏洞，從而改善其整體安全態勢。SOC 2 合規性幫助組織滿足行業特定法規（如 HIPAA 和 PCI DSS）的安全和隱私要求。SOC 2 合規性可以提高客戶對組織資料保護能力的信心，從而提高客戶忠誠度和保留率。

從監管合規的廣闊視角轉向資料安全的具體內容，瞭解這些框架如何在實踐中應用於保護敏感資訊至關重要。本節探討合規管理的關鍵基礎機制和技術。資料保護是合規管理的核心，對於各個行業的組織控制和自動化要求至關重要。透過研究加密、訪問控制和持續監控等具體策略，我們旨在展示組織如何滿足監管期望，有效地保護關鍵資料。

安全基礎設施和技術

加密：主要用於保護資料在傳輸和儲存時的安全，使用僅對擁有解密金鑰的人員可訪問的加密演算法對資料進行加密。^[15]

防火牆和入侵檢測系統（IDS）：防火牆充當組織安全內部網路和潛在不安全的外部網路之間的屏障。IDS 系統監控網路流量以檢測和響應可疑活動。^[16]

資料遮蔽和令牌化：這些技術確保敏感資料在測試或分析等環境中保持匿名或隱藏，在保持功能的同時增強安全性。^[17]

訪問控制和身份驗證

基於角色的訪問控制（RBAC）：這種安全方法根據個人在組織中的角色限制對資訊的訪問，確保訪問僅限於其職責所需的資訊。^[18]

多因素身份驗證（MFA）：透過要求使用者在訪問系統或資料之前提供多種驗證方式來增強安全性，從而大大降低未經授權訪問的風險。^[18]

監控和審計

持續監控：涉及不斷觀察系統活動，以便快速識別和緩解潛在的安全威脅。^[19][17]

定期審計：評估安全措施有效性和識別潛在改進以增強資料保護的必要手段。^[19]

策略和培訓

資料安全策略：組織建立和執行規定資料處理、共享和保護的策略。這些策略會定期更新以應對新的威脅和合規要求。^[20][17]

員工培訓計劃：員工定期接受有關資料安全重要性和保護敏感資訊的特定協議的培訓，確保廣泛遵守。^[21]

事件管理和恢復

事件響應計劃：詳細計劃，概述立即行動、緩解策略和通知程式，以有效管理資料洩露或安全事件。^[22]

備份和災難恢復：定期備份和全面的災難恢復計劃確保在資料丟失或系統故障的情況下恢復資料和業務連續性。^[23]

第三方和供應商管理

供應商安全評估：對處理敏感資料的供應商和第三方進行全面安全評估，以確保符合資料保護標準。^[11]

我們已經回顧了網路安全合規性是什麼，重要的是要了解如何在組織內部啟動網路安全合規性計劃。每個網路安全合規性計劃都因其多功能性和覆蓋的深度而特定於組織。但是，以下步驟應該是任何組織開始開發其合規性計劃並獲得滿足監管合規性要求的好處的一個很好的起點。

1. 組建指定合規團隊：網路安全合規背後的主要力量是您的 IT 人員，但是當實施全面的合規性計劃時，必須組建一個合規性團隊。為了使企業擁有強大的網路安全態勢並支援合規性程式，所有部門都必須協作。
2. 制定風險分析流程：您應該遵守風險分析流程的四個基本階段，以識別和評估風險。這些包括確定哪些資訊系統、資產或網路可以訪問資料、確定與每種型別資料相關的風險級別、應用公式分析風險以及透過選擇是否降低、轉移、拒絕或接受任何已識別的風險來建立容忍度。危險。
3. 啟用控制措施以減輕或轉移風險：設定安全措施以降低或轉移網路安全威脅是下一個階段。這些措施包括加密、網路防火牆、密碼限制、員工培訓、事件響應計劃、訪問控制和修補管理計劃，以及其他技術和物理措施。
4. 建立和實施策略：記錄 IT 團隊、員工和其他利益相關者需要遵循的任何策略或說明，以確保已實施控制措施。這些規定對於未來的內部和外部審計也很有幫助。
5. 監控和快速響應：隨著新的法律或舊法律的修訂版本的頒佈，密切關注您的合規性計劃。合規性計劃的目的是識別和管理風險，並在網路威脅導致重大資料洩露之前阻止它們。此外，制定能夠讓您快速響應威脅的業務流程至關重要。

• 醫療保健行業：^[24]

由於患者資料的敏感性和醫療保健服務的關鍵性，醫療保健行業面臨著嚴格的合規性要求。該行業的組織必須遵守美國醫療保險流通與責任法案（HIPAA）等法規。HIPAA 規定了保護患者隱私和保護電子健康記錄（EHR）的嚴格標準。此外，醫療保健組織還必須遵守與醫療器械製造、製藥和臨床試驗相關的法規，例如美國食品藥品監督管理局（FDA）法規。醫療保健中的合規性挑戰包括確保 EHR 系統的安全、保護患者機密性以及在遵守 HIPAA 和其他行業特定法規的同時處理複雜的資料共享協議。

• 製造業：^[25][26][27]

製造業面臨著與產品安全、環境法規和供應鏈管理相關的獨特合規性挑戰。製造商必須遵守美國職業安全與健康管理局 (OSHA) 的工作場所安全標準、美國環境保護署 (EPA) 的廢物管理和排放控制法規以及行業特定標準，例如國防相關製造的國際武器貿易條例 (ITAR)。製造業的合規性挑戰包括確保產品質量和安全、最大限度地減少環境影響以及管理跨全球供應鏈的監管要求。

• 科技行業：^[28][29][30]

科技行業在一個以創新、顛覆和激烈競爭為特徵的快速變化的環境中運營。科技公司必須應對錯綜複雜的監管網路，這些網路根據其產品、服務和地理位置而有所不同。影響科技行業的主要法規包括歐盟的通用資料保護條例 (GDPR)、美國加州消費者隱私法 (CCPA) 以及行業特定標準，例如國際標準化組織 (ISO) 27001 資訊安全管理體系。科技行業的合規性挑戰包括管理大量客戶資料、解決隱私問題以及確保基於雲的服務和物聯網 (IoT) 裝置的安全。

• 金融行業：^[31][32][33]

金融行業在一個高度監管的環境中運營，以確保金融市場的完整性和穩定性，並保護消費者利益。金融機構，包括銀行、保險公司和投資公司，必須遵守薩班斯-奧克斯利法案 (SOX)、格雷厄姆-裡奇-布萊利法案 (GLBA) 和支付卡行業資料安全標準 (PCI DSS) 等法規。這些法規管理著金融運營的各個方面，包括資料隱私、反洗錢 (AML)、欺詐預防。

^{[11] [12] [34] [35] [14] [36] [37] [13] [38] [2] [1] [39] [40] [41]}

1. ↑ ^{a b} Kost, Edward. 2022. 網路安全合規管理是什麼？ 10 月 10 日。 https://www.upguard.com/blog/what-is-compliance-management.
2. ↑ ^{a b c d} CompTIA。n.d. 什麼是網路安全合規性？ https://www.comptia.org/content/articles/what-is-cybersecurity-compliance.
3. ↑ "歐盟資料保護 - 歐洲委員會". commission.europa.eu. 2023-07-04. Retrieved 2024-04-23.
4. ↑ "什麼是GDPR，歐盟新的資料保護法？". GDPR.eu. 2018-11-07. Retrieved 2024-04-23.
5. ↑ ^{a b c} "什麼是COPPA？| 常識教育". www.commonsense.org. Retrieved 2024-04-22.
6. ↑ "微軟公司，美國訴". 聯邦貿易委員會. 2023-06-05. Retrieved 2024-04-22.
7. ↑ ^{a b c d} "堡壘之夜遊戲製作商Epic Games因FTC指控的隱私侵犯和非自願收費支付超過5億美元". 聯邦貿易委員會. 2022-12-16. Retrieved 2024-04-22.
8. ↑ "堡壘之夜退款". 聯邦貿易委員會. 2022-11-30. Retrieved 2024-04-22.
9. ↑ 加州消費者隱私法 (CCPA). (2024b, 3月13日). 加利福尼亞州 - 司法部 - 檢察長辦公室. https://oag.ca.gov/privacy/ccpa
10. ↑ 加州消費者隱私法 (CCPA). (2024b, 3月13日). 加利福尼亞州 - 司法部 - 檢察長辦公室. https://oag.ca.gov/privacy/ccpa
11. ↑ ^{a b c} 美國國家標準與技術研究院 (NIST). (2020). 網路安全框架. https://www.nist.gov/cyberframework
12. ↑ ^{a b} 歐盟網路安全域性 (ENISA). (2020). 網路安全法. https://www.enisa.europa.eu/policy-and-law/cybersecurity-act
13. ↑ ^{a b} 美國衛生與公眾服務部. (n.d.). HIPAA for Professionals. Retrieved April 24, 2023, from https://www.hhs.gov/hipaa/for-professionals/index.html
14. ↑ ^{a b} 聯邦貿易委員會. (2019). FTC 採取行動打擊 Cafe Press 掩蓋資料洩露行為. https://www.ftc.gov/news-events/news/press-releases/2022/03/ftc-takes-action-against-cafepress-data-breach-cover
15. ↑ Porcedda, Maria Grazia (2023). 歐盟法律中的網路安全、隱私和資料保護：法律、政策和技術分析. 資訊法律與監管哈特研究. 牛津；紐約：哈特. ISBN 978-1-5099-3939-8.
16. ↑ Jacoby, G.A.; Marchany, R.; Davis, N.J. "基於電池的入侵檢測：第一道防線". 2004 年第五屆 IEEE SMC 資訊保障研討會論文集. IEEE. doi:10.1109/iaw.2004.1437827.
17. ↑ ^{a b c} Bougleux, Elena (2021-06-30). "通用資料保護條例 (GDPR) 並非真正通用". 地中海人類學檔案. 23 (1). doi:10.4000/aam.4098. ISSN 2038-3215.
18. ↑ ^{a b} Rizvi, Syed; Imler, Jarrett; Ritchey, Luke; Tokar, Michael. "使用座標跟蹤和多因素身份驗證來保護 PKES 免受中繼攻擊". 2019 年第 53 屆資訊科學與系統年會 (CISS). IEEE. doi:10.1109/ciss.2019.8692790.
19. ↑ ^{a b} "外部驗證", 實驗室質量和監管合規審計, CRC Press, pp. 222–236, 2005-07-25, ISBN 978-0-429-11950-7，檢索於 2024-04-21
20. ↑ Middleton, Rowan; Smith, Herbert. "資料保護 - 保留政策". 計算機法律與安全評論. 19 (3): 216–221. doi:10.1016/S0267-3649(03)00305-4.
21. ↑ "安全意識和培訓選單", 資訊安全, Elsevier, pp. 63–64, 2013，檢索於 2024-04-21
22. ↑ "事件響應", 打擊恐怖主義戰略與方法, 2300N Street, NW, Suite 800, Washington DC 20037 United States: CQ Press, pp. 199–231, 2008{{citation}}: CS1 maint: location (link)
23. ↑ "業務連續性和災難恢復響應清單", IT 專業人員的業務連續性和災難恢復計劃, Elsevier, pp. 417–418, 2007，檢索於 2024-04-21
24. ↑ 權利（OCR），民權辦公室 (2021-06-09). "健康資訊隱私". www.hhs.gov. Retrieved 2024-04-13.
25. ↑ (OSHA). "職業安全與健康管理局".
26. ↑ 美國環保署，運營部 (2013-01-31). "法律與法規". www.epa.gov. Retrieved 2024-04-13.
27. ↑ "美國國務院國防貿易管制局。 (n.d.). 國際武器貿易條例 (ITAR)". www.pmddtc.state.gov. Retrieved 2024-04-13.
28. ↑ "GDPR 歐洲法規". eur-lex.europa.eu. Retrieved 2024-04-13.
29. ↑ "加州消費者隱私法 (CCPA)". 加州 - 司法部 - 總檢察長辦公室. 2018-10-15. Retrieved 2024-04-13.
30. ↑ 14:00-17:00. "國際標準化組織". ISO. Retrieved 2024-04-13.{{cite web}}: CS1 maint: numeric names: authors list (link)
31. ↑ "檔案庫". PCI 安全標準委員會. Retrieved 2024-04-13.
32. ↑ "格雷厄姆-裡奇-布萊利法案". 聯邦貿易委員會. 2024-02-05. Retrieved 2024-04-13.
33. ↑ "2002 年薩班斯-奧克斯利法案".
34. ↑ 支付卡行業安全標準委員會。 (2020). 支付卡行業資料安全標準. https://listings.pcisecuritystandards.org/assessors_and_solutions/vpa_agreement?return=%2Fassessors_and_solutions%2Fpoint_to_point_encryption_solutions/
35. ↑ 萬豪國際。 (2019). 萬豪國際宣佈資料洩露和解. https://www.cbsnews.com/news/marriott-data-breach-class-action-lawsuits-seek-billions-with-more-to-come/
36. ↑ 馬士基表示全球 IT 系統故障是由網路攻擊造成的。（2017 年）。https://www.reuters.com/article/us-cyber-attack-maersk-idUSKBN19I1NO
37. ↑ 塔吉特公司。（2018 年）。塔吉特資料洩露和解協議。https://topclassactions.com/lawsuit-settlements/closed-settlements/target-data-breach-class-action-settlement/
38. ↑ 健康資訊與管理系統協會。（無日期）。HIPAA 資源。2023 年 4 月 24 日檢索自 https://www.himss.org/news/himss-comments-hipaa-proposed-regulation-highlights-importance-alignment-and-access
39. ↑ GDPR。（2023 年 1 月）。通用資料保護條例。檢索自 gdpr-info.edu：https://gdpr-info.eu/
40. ↑ 麥卡錫，N.（2023 年 1 月 31 日）。2022 年最大的 GDPR 罰款。檢索自 EQS 集團：https://www.eqs.com/compliance-blog/biggest-gdpr-fines/
41. ↑ 加利福尼亞州消費者隱私法案 (CCPA)。(2024b 年 3 月 13 日)。加利福尼亞州 - 司法部 - 總檢察長辦公室。 https://oag.ca.gov/privacy/ccpa