如前所述，美国的两项主要法律是萨班斯-奥克斯利法案 (SOx) 和格拉姆-里奇-比利利法案 (GLB)。

如果您从事金融服务行业的银行业务，那么必须阅读2006 年 7 月发布的联邦金融机构审查委员会 (FFIEC)信息安全手册。

该手册参考了 NIST、ISO 和 COBIT。NIST 的 800 系列文档是有关各种主题的出色指导来源。在 ISO 方面，请参阅 ISO/IEC 27002 标准。

如果您属于 SOx，那么您可能会发现自己涉及两个控制框架，COBIT 和 COSO。控制框架不会确切地告诉您如何实现控制。尽管与 SOx 合规性没有直接关联，但 SANS 已在其他内容中发布了二十个关键安全控制列表。这些控件更接近于实际实现，但仍然没有告诉您确切的操作方法。如何实现特定控制将高度依赖于您的环境。

同样在英国，FSA 要求虽然非常模糊且易于解释，但基于 ISO 27001、CobIT、ITIL 等行业事实标准，主要目的是让组织根据数据或流程。

《数据保护法》也是需要满足的重要法规之一，特别是现在 ICO 可以对未能保护个人数据的行为处以罚款。

PCI 目前是最需要遵守的法规之一，因为金融服务组织的驱动因素是商业的。虽然通过 PCI 要求并不能保证安全，但未能通过它们会带来非常重大的风险！

到目前为止，答案中尚未提及，但可能与金融服务的多个领域相关的是PCI DSS。如果组织处理来自任何主要计划的信用卡/借记卡详细信息，例如零售银行业务、保险，基本上任何与个人客户打交道的事情，它将适用。

与 SOx 之类的东西相比，PCI 的一件事是，它以技术细节的方式详细说明了需要遵守哪些控制措施。这可以被视为一件好事或一件坏事。

一方面，它阻止人们争论是否需要某些控制类，但另一方面，它可以驱动相当“复选框”的心态，组织试图遵守标准的文字，但不是精神。

在美国，适用的两个主要法规：

• 硫氧化物
• GLB