19、信息安全评估中的法律考量

信息安全评估中的法律考量

1. 为何需要律师全程参与

莎士比亚笔下“屠夫迪克”的名言“我们要做的第一件事，就是杀光所有律师”常被引用和误引。但实际上，迪克及其团伙是在谋划推翻英国政府时提出这一想法的。从合理的角度解读，莎士比亚可能是想表明，那些帮助人们解读和诉讼法律的人，对社会的有序运转是必要的。

在信息安全评估中，确定实体如何有效遵守众多复杂的信息安全法律要求时，合格且经验丰富的律师本应参与其中。然而如今，大多数评估工作由计算机工程师、会计和咨询公司进行。虽然这些专业能力在信息安全评估中都有必要作用，但关键问题是如何最好地遵守当前的注意标准，以减轻潜在的法律责任，因此经验丰富的律师应像手术室里的外科医生一样引领团队。

在美国，几乎每个州都禁止无执照从事法律业务。例如在科罗拉多州，“从事法律业务”被定义为“就法律权利和义务进行咨询、建议和协助他人”，违规者可能面临罚款或监禁。信息安全顾问绝不能向客户提供有关HIPAA、Gramm - Leach - Bliley金融信息隐私条款等联邦、州或地方法律法规的法律建议，否则不仅自身可能面临法律诉讼，还会误导客户。

2. 律师参与的其他重要因素

• 律师 - 客户特权 ：律师 - 客户特权是法律中最古老的保密信息保护措施之一，非常强大。在每个州，律师向客户提供的法律建议通信受到保护，客户为寻求法律建议而提供给律师的信息同样受保护。在许多民事案件中，一旦法院认定特权适用，法律对手对特权信息的需求通常无法超越这种保护。但在刑事背景下，这种绝对保护在某些司法管辖区不太确定。

法院对公司内部律师的审查往往比外部律师更严格。