ISC2 及 SC2 道德规范背景介绍

治理要素
任何企业或组织的存在都是为了实现一个目的，无论是为行业提供原材料、制造用于构建计算机硬件的设备、开发软件应用程序、建造建筑物或提供商品和服务。要完成目标，需要做出决策、定义规则和实践，并制定政策和程序来指导组织实现其目标和使命。

当领导者和管理层实施组织将用于实现其目标的系统和结构时，他们会受到政府制定的法律和法规的指导，以制定公共政策。法律法规引导标准制定，标准培育政策，形成程序。

圖像代表以上圖像的圖像顯示從法規到標準到政策到程序的流程
法规、标准、政策和程序如何相关？反向查看列表可能会有所帮助。

程序是完成支持部门或组织策略的任务的详细步骤。
组织治理（例如执行管理层）制定了政策，以在所有活动中提供指导，以确保组织支持行业标准和法规。
治理团队经常使用标准来提供一个框架，以引入支持法规的政策和程序。
法规通常以法律的形式发布，通常来自政府（不要与治理混淆），并且通常会对违规行为进行经济处罚。
现在我们看到了它们是如何连接的，我们将看看它们的一些细节和示例。

法规和法律
image of a scroll representing regulations
国家、地区或地方各级政府可以实施法规和相关的罚款和处罚。由于法规和法律在世界不同地区的实施和执行方式可能不同，因此这里有一些示例将概念与实际法规联系起来。

這1996 年的健康保险流通与责任法案 (HIPAA) 是管理美国受保护健康信息 (PHI) 使用的法律示例。违反 HIPAA 规则可能会对个人和公司造成罚款和/或监禁。

這通用数据保护条例 (通用數據保護條例) 以控制其公民和欧盟公民对其个人身份信息 (個人身份信息) 的使用。它包括对处理欧盟公民和居住在欧盟的数据的公司实施经济处罚的规定，即使该公司在欧盟没有实体存在，也使该法规具有国际影响力。

最后，在多个层面上受到监管是很常见的。除了多个地区和城市之外，跨国组织还受制于多个国家的法规。组织需要考虑适用于其业务的各个层面（国家、地区和地方）的法规，并确保它们符合最严格的法规。

标准
image of clipboard representing standards
组织使用多个标准作为其信息系统安全计划的一部分，既作为合规文件，也作为建议或指南。标准涵盖了广泛的问题和想法，能保证组织按支持法规且被广泛认可的最佳实践的政策和程序来运作。

国际标准化组织（ISO）制定并发布有关各类技术主题的国际标准，包括信息系统、信息安全以及加密标准。国际标准化组织会征求国际专家群体的意见，以便在发布标准前获得建议。概述国际标准化组织标准的文件可在线购买。

美国国家标准与技术研究院（NIST）是隶属美国商务部的政府机构，除信息技术和信息安全标准外，还发布了多种技术标准。该研究院发布的很多标准是对美国政府机构的要求，也被全球行业视作建议标准。美国国家标准与技术研究院的标准会征求并整合行业意见，且可从其官网免费下载。

最后，想想计算机如何与全球其他计算机通信。人们说着不同语言，并非总能相互理解，那计算机如何通信呢？当然是靠标准！
多亏了互联网工程任务组（IETF），通信协议中的标准能确保所有计算机跨越国界相互连接，即便操作人员不说同一种语言。
电气和电子工程师协会（IEEE）也为电信、计算机工程等学科制定标准。

策略
image of official document representing policies
策略以适用法律为依据，并指定组织将遵循的标准和指南。政策范围广泛，但不详细；它确定了背景并确定了战略方向和优先事项。治理政策用于调节和控制决策制定，以确保必要时的合规性，并指导其他政策的创建和实施。

策略通常在整个组织的多个级别上编写。高级管理人员使用高级治理政策来塑造和控制决策过程。其他高级策略指导整个组织的行为和活动，因为它朝着特定或一般目标和目标前进。人力资源管理、财务和会计以及安全和资产保护等职能领域通常有自己的一套政策。无论是法律法规还是合同规定，合规性的需要还可能需要制定特定的高级政策，这些政策被记录并评估以供组织有效使用。

政策由人执行或执行；为此，必须有人将政策从意图和方向声明扩展为逐步说明或程序。

程序
image of clipboard and cog wheel representing procedures
过程定义了完成特定任务或一组任务所需的明确的、可重复的活动。它们提供执行每项任务所需的支持数据、决策标准或其他明确的知识。程序可以处理一次性或不经常发生的行为或常见的、经常发生的事件。此外，程序建立了用于确定任务是否已成功完成的测量标准和方法。正确记录程序并培训人员如何定位和遵循它们对于从程序中获得最大的组织利益是必要的。

ISC2 及 SC2 道德规范背景介绍
ISC2（国际信息系统安全认证联盟）是全球公认的网络安全领域专业认证机构。SC2 道德规范是 ISC2 成员需要遵循的重要道德准则，这些准则体现了网络安全专业人员的职业操守和责任担当。
对各责任要点的详细解释
保护社会、共同利益、必要的公众信任和信心以及基础设施
社会和共同利益方面：网络安全专业人员在工作中会接触到大量涉及公众利益的数据和系统。例如，金融机构的网上银行系统存储着客户的资金信息，医疗系统存储着患者的健康数据。保护这些数据的安全就是在维护社会的稳定和公众的共同利益。如果银行客户的账户信息被泄露，可能导致客户资金损失，引发社会恐慌；医疗数据泄露可能会侵犯患者隐私，对患者造成伤害。
公众信任和信心方面：公众需要对网络环境和信息系统有信任，才能正常开展在线活动。网络安全专业人员要通过保障系统的安全性，如防止网络钓鱼攻击、恶意软件入侵等，来维持公众对互联网服务的信心。例如，电商平台的安全防护措施可以确保消费者放心购物，不用担心个人信息泄露或支付安全问题。
基础设施方面：现代社会的基础设施如能源网络、交通控制系统、通信网络等都高度依赖计算机系统和网络。网络安全专业人员有责任保护这些关键基础设施的信息系统安全。例如，电网的控制系统一旦受到网络攻击，可能导致大面积停电，影响社会正常运转；交通信号系统被攻击可能引发交通事故和交通混乱。
以光荣、诚实、公正、负责任和合法的方式行事
光荣和诚实方面：在网络安全工作中，专业人员要秉持诚信原则。例如，在进行安全评估和漏洞检测时，要如实报告发现的问题，不能隐瞒漏洞以谋取私利。如果安全公司为了获取客户的长期合同而隐瞒系统中存在的高风险漏洞，这就是不诚实的行为，可能会给客户带来巨大的安全隐患。
公正方面：要公正对待所有利益相关者。在处理安全事件时，不能偏袒任何一方。比如，在企业内部发生数据泄露事件后，安全人员不能因为与某个部门关系好而减轻对其责任的追究，要公正地分析事件原因，确定责任归属。
负责任和合法方面：要遵守法律法规，对自己的行为负责。网络安全领域涉及到许多法律法规，如数据保护法、网络安全法等。专业人员在进行渗透测试等工作时，必须在合法的授权范围内进行，不能未经授权入侵他人系统。否则，可能会面临法律责任。
为委托人提供勤勉、称职的服务
勤勉方面：要尽心尽力地为委托人（如雇主、客户等）工作。例如，在为企业设计网络安全防御体系时，要认真研究企业的业务需求、网络架构等，不能敷衍了事。要投入足够的时间和精力，如对系统进行全面的风险评估，包括分析可能存在的网络攻击路径、评估现有安全措施的有效性等。
称职方面：需要具备足够的专业知识和技能来提供服务。网络安全是一个技术更新换代很快的领域，专业人员要不断学习新知识，掌握新技能。比如，要能够熟练运用最新的入侵检测技术、防火墙配置方法等，为委托人提供高质量的网络安全服务。如果不具备相应的能力，可能会导致安全措施失效，给委托人带来损失。
推进和保护职业
推进方面：网络安全专业人员要积极推动行业的发展。可以通过参与学术研究、分享技术经验等方式来实现。例如，在专业会议上发表关于新型网络攻击防范的研究成果，或者在技术论坛上分享自己在实际工作中遇到的安全问题及解决方案，促进同行之间的交流和学习，推动整个网络安全行业的技术进步。
保护方面：要维护网络安全职业的声誉。不能从事有损职业形象的行为。例如，不能利用自己的专业知识进行网络犯罪活动，如参与黑客组织、贩卖漏洞等。同时，对于行业内出现的不良行为要敢于抵制，共同维护网络安全职业的良好环境。