20、信息安全评估：法律原则与工具指南

信息安全评估：法律原则与工具指南

1. 信息安全的法律考量

信息安全领域不仅涉及技术手段，还与众多法律原则和法规密切相关。在当今数字化时代，各种信息安全威胁层出不穷，包括网络恐怖主义、数据泄露、恶意攻击等，这些都促使政府和企业制定相应的法律和政策来保障信息安全。

1.1 网络恐怖主义与信息安全威胁

网络恐怖主义对美国的威胁被认为在迅速扩大。恐怖组织对开发基本黑客工具表现出明显兴趣，FBI 预测他们可能会自行开发或雇佣黑客，以配合大规模物理攻击进行网络攻击。然而，恐怖组织对美国发动灾难性网络攻击的观点并非被普遍接受，有观点认为这种威胁在短期内可能被高估。但对于信息安全专业人员及其客户来说，鉴于对手的能力、意图和机会，以及美国政府应对网络攻击的政策，应假定存在此类攻击的可能性。

除了网络恐怖主义，还有许多已知的信息安全威胁，如勒索者、身份窃贼、企图收集和出售金融及其他有价值个人信息的团伙、恶意黑客等，这些都促使人们加强信息系统的安全防护。

1.2 相关法律和法规

众多联邦和州法律及法规与信息安全专业人员及其客户的工作相关。以下是一些重要的法律和法规：
- 数据保护相关法律 ：如《公平信用报告法》（15 U.S.C. §§ 6801 等），规定了数据处理和保护的相关要求；《健康保险流通与责任法案》（HIPAA），对电子受保护健康信息（EPHI）的安全有明确规定，除特定类别外，所有 PHI 都需要“适当的安全措施”。
- 行业合规法律 ：《萨班斯 - 奥克斯利法案》（SOX）要求公司建立内部控制和财务报告的准确性；《联邦信息安