Joe Tech 得到一份管理 Acme Startup 的 IT 服务的工作。Acme Startup 处理 X、Y 和 Z 数据类型的信息,并提供服务 A、B 和 C。Joe Tech 知道其中一些数据类型和/或服务可能属于政府法规,但不确定是哪一种。他还知道,Acme Startup 的 CEO 和/或创始人不太可能比他更了解这个主题。
在不引入法律团队的情况下,Joe Tech 是否可以轻松确定哪些法律和/或法规适用于 Acme Startup 处理的数据和服务?
(注意:与此相关的特定现实生活场景是在美国佛罗里达州,但欢迎全球适用的答案 - 如果有的话。)
您需要提出的核心问题 - 这些问题在@AviD 与@Beth 链接的问题中的一些答案中涵盖:
在许多司法管辖区都有这些等价物
了解您的数据所在的每个国家/地区是一个良好的开端。该领域没有那么多全球强制执行的法律,因此您最终会想要熟悉所有相关的国家/地区法律。《谁控制了互联网?》这本书是一本关于该主题的非常有趣的读物(对我来说,这是一本很棒的有声读物)。
从那里,能够对您手头上的数据类型进行分类会很有帮助。法律法规通常可以根据行业和数据类型进行分类。一个好的开始方法是首先查看您公司的流程是什么 - 它在销售什么,它在购买什么,必须移动哪些类型的信息才能实现这一目标。确保您跟踪实现您的产品或服务所需的外部数据,以及任何公司典型的内部数据 - 例如人事记录。
总的来说(很多来自 Shon Harris 的CISSP 考试指南——不是任何一门学科中最好的,但很好的包罗万象)——有以下基本类型的法律:
知识产权法——保护贵公司的商业秘密、版权、商标、专利和其他知识产权。当然,如果您的公司规模更大,那么您手头上已经至少有一位精通这方面的律师。
隐私法 - 保护个人、公司、员工和其他人免于泄露不应公开的信息的法律集合。从个人信息、健康相关信息、正确的会计报告、防止黑客攻击和企业间谍活动到员工隐私问题,应有尽有。有些适用于美国几乎每家公司,有些适用于特定行业或特定类型的信息。
起诉法 - 在您必须起诉之前通常不会涉及,但如果您对此充满热情,那么至少了解一些证据链以及必须采取哪些措施来保护您可以帮助您建立恢复程序不要破坏您追踪和起诉攻击您公司的人的能力。
特定行业的道德规范
如果您的公司为任何事情获得联邦资金,还有一些特殊的法律领域,如果您开发或参与与国家安全有关的任何事情,则还有更多的法律领域。这些很容易——如果您没有与联邦、州或地方政府签署任何形式的合同,这些法律不太可能适用于您。
据我所知,没有一个很好的在线问答网站,您可以在其中回答一系列问题,并获取有关适用于您情况的每条美国法律的信息。您通常必须顺其自然,弄清楚您的数据是什么样的以及适用于您的法律。一般来说,我会从您的行业开始,因为您可能会在基于行业的论坛中找到其他人关注您应该担心的相同事情。例如,国防承包商是物超所值——我们对 HIPPA 等医疗保健法几乎一无所知,但我们对有关机密系统的法律知之甚少。:)